Bonjour,
 
Depuis la mise en place de l'audit, nous avons réussi à nous rendre compte que nous avons parfois des comptes en logon automatique avec un mauvais mot de passe et que ca verouille les session.
 
Depuis hier, le compte d'une certaine personne tente de s'authentifier avec un mauvais mot de passe toutes les minutes (ID 4771) et l'@ IP source est une adresse ip d'un de nos hotes TSE.
En principe on voit que ca vient d'un terminal léger et on règle le problème mais après avoir vérifié nos terminal léger, je n'ai pas vu le compte paramétré sur l'un d'eux.
 
Existe t'il un moyen de détecter de quel hote cette tentative de connexion viendrait à l'origine.  
 
J'ai pensé à analyser avec Wireshark sur le serveur TSE en question, mais je filtre comment ? parce que des connexion il y en a environs 80.
 
Merci

bonjour,
 
tu peux regarder sur ton tse ( pour moi un 2008 ) dans l'observateur d'evenement, le journal de securite et sur l'id 4624 j'arrive a retrouver l'adresse ip.
 
Apres il faut voir si l'audit des connections est activé sur ton tse.
 
cordialement
 

Je n'ai rien de significatif non sur le TSE.
La derniere connexion que j'ai date de juillet 2015.
J'ai DC1 et DC2 :
Sur DC1 toutes les 5 min j'ai des erreurs d'authentification de cet utilisateur provenant de DC2
Sur DC2 j'en ai 3 toutes les minutes puis 30 min apres ca recommence.
Sachant que notre politique est qu'un compte est vérouillé 30 min apres 3 échecs donc ça correspondrait bien.
Par contre j'ai pas plus d'info non.
Je vais essayer depuis son PC normal même si j'y crois peu.

Tu devrais regarder dans le profil de l'utilisateur. Tu ouvres une panneau de configuration > gestionnaire d'identification.
Il arrive bien souvent que les utilisateurs enregistrent un compte et un mot de passe et une fois le mot de passe expiré il ne redemande pas pour le changer.

Je vais vérifier mais comme dis plus haut, la connexion semble provenir d'un TSE.

J'ai tout supprimer mais ca ne venait pas de la.
Le problème est toujours présent.

tentative avec wireshark mais j'avoue qu'il y a beaucoup de flux et que je galere

Bon bé je n'arrive pas à y voir plus clair concrétement...
Je me suis mis sur un TSE j'ai fais un wireshark, il y a énormément de flux et je n'arrive pas à savoir ce que je devrai trouver...
Je ne sais pas non plus quel est le flux à regarder en théorie.

.200 c'est un DC
.240 c'est un TSE
.203 c'est un serveur d'appli

Donc la je me suis mis sur le TSE en .240

Si je me mets sur le DC je rencontre le meme probleme c'est à dire que je vois qu'il y a des erreurs entre DC et TSE qui passe, mais impossible de connaitre la source, et la bé c'est pareil....