Active-Directory
如何解釋域控制器上的 ID 4624 類型 3 事件?
我在域控制器(Windows Server 2012)上看到很多 ID 4624 事件(登錄類型 3),我想知道這些事件想告訴我什麼。
我讀過域控制器上的 4624 Type 3 事件說 AD 域上有網路登錄,但我不明白源網路地址的含義。是登錄的來源還是使用者想要登錄的目標?
源網路地址將是請求源自的地址,但它可能是本地主機或不包含源資訊的方式。
您可能已經遇到過它,但以下內容包括大量細節以及一些有用的審計方法:
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624
希望有幫助
驗證 PTR 記錄並將站點綁定到子網
如果您想在日誌事件中查看網路地址,您可以做兩件事來補救。
**1.**在 DNS 伺服器中,確認您有一個反向查找區域。如果沒有,請使用您的主機子網的網路地址創建一個。
**2.**打開 Active Directory 站點和服務。向下鑽取“站點 > 子網”。驗證子網是使用子網的網路地址 CIDR 創建的,並且它綁定到該子網中存在的站點(您的 DC 所在的站點)。
**3.**在 DC 上,打開 admin cmd 提示符並鍵入“ipconfig /registerdns”
您現在應該看到您的 DC 的 PTR 記錄是新的 DNS 反向查找區域。如果您有其他包含主機的子網,請為這些主機創建反向查找區域。
“ID 4624 事件(登錄類型 3)”資訊事件現在應該顯示子網。類型 3 事件是客戶端訪問 netlogon 和/或 sysvol 共享以獲取登錄腳本或組策略列舉和應用程序。