如何找出域帳戶的錯誤登錄嘗試來自何處（Windows 2008 Server R2）

我有一個不斷被鎖定的帳戶（域帳戶）。

我可以看到最後一次錯誤登錄發生的時間和錯誤登錄計數 = 5。我要確定的是導致錯誤登錄的機器的 IP 地址。

我怎樣才能找到這個？

首先，需要啟用對登錄失敗的審計。作為實踐，我總是將它放在強制執行的預設域策略中，但您至少應該將它應用於您的域控制器。該條目稱為審核帳戶登錄事件，並且由於某種原因它僅預設記錄成功。有關此設置的資訊可從 Microsoft在 Technet 上獲得。

一旦啟用，處理登錄的域控制器的安全日誌應該包含必要的資訊。具體來說，檢查登錄/註銷事件的失敗審計。使用者名應該是一個名為 User 的列，您可以對其進行排序/過濾以簡化搜尋。

引用自：https://serverfault.com/questions/250767