AD Anmeldeüberwachung: Mehrere 4771 Events bei falscher Anmeldung?

[Knorkator 12]

Hallo zusammen,

 

ich beschäftige mich momentan mit dem Überwachen von Fehlerhaften Anmeldungen und verstehe etwas nicht.

 

Client1: Ip 192.168.100.179

DC1: Ip 192.168.100.201

DC2: IP 192.168.100.212

 

Test: An Client1 wird ein falsches Kennwort eingegeben.

 

Eventlog an DC2

Fehler bei der Kerberos-Vorauthentifizierung.

Fehler ID 4771 wird an DC2 geloggt - Netzwerkinformationen mit Clientadresse:192.168.100.179

 

Eventlog an DC1

Fehler bei der Kerberos-Vorauthentifizierung.

Fehler ID 4771 wird an DC1 geloggt - Netzwerkinformationen mit Clientadresse: 192.168.100.212

 

Im Eventlog an DC2 kann ich ja sehen, an welchem Client-PC die falschen Logindaten eingetragen wurden.

Aber was soll der Eintrag an DC1 mit der IP von DC2?

 

Ich dachte immer, das Event wird nur an dem DC geloggt an dem die Anmeldung erfolgt?

 

 

 

Vielen Dank im voraus für jeden Tipp.

[blub 115]

ist der DC1 der PDCe?

 

Die erste Anmeldung erfolgt an einem beliebigen DC aus der Site des Clients, bei falschem Kennwort erfolgt der zweite Anmeldeversuch beim PDCe.

 

blub

[Knorkator 12]

Hallo,

 

ja, der DC1 ist der PDCe.

Der DC2 fragt dann also nochmal am PDCe, das war mir nicht bewusst.

 

Danke für die Info, dann muss ich bei der Auswertung schauen, dass ich 4771er Meldungen die die IP vom PDCe  enthalten, ignoriere bzw. anders verarbeiten lassen.

 

Vielen Dank und schönes Wochenende.

[blub 115]

Der PDCe bekommt eine Passwortänderung sofort, ohne Replikationsdelay, von seinen anderen DCs direkt mitgeteilt.

Durch diesen Mechanismus kann sich ein User sofort nach einem PW-Wechsel mit seinem neuen PW anmelden und muss nicht warten, bis das neue PW auf alle DCs durchrepliziert ist.

[Knorkator 12]

Ja.. habe ich mir schon gedacht.

Ist ja auch logisch.

 

Vielen Dank und schönes Wochenende!