Merhaba,
Belli bir süredir, bizim yapıya uygun olmayan bir pc sürekli şifre denemesi yapıyor.
DC lerde ilgili makina source.workstation olarak görüyoruz fakat makina domainde ve ipscan de çıkmadığı için makinayı bulamıyorum.
CMD'den nltest /dbflag:0x2080ffff komutu ile netlogon debug aldığımda
01/09 08:47:08 DYG: SamLogon: Transitive Network logon of xxx\user from JCIFS11_167_91 (via SQLMAKINASI) Entered
01/09 08:47:08 DYG: SamLogon: Transitive Network logon of xxx\user from JCIFS11_167_91 (via SQLMAKINASI) Returns 0xC0000234
şeklinde logları görüyorum. Fakat ilgili makinada bunla ilgili bir task scheduler, sql de bir user login bulunmuyor. Aynı şekilde farklı farklı fileserverda vb sunuculardanda geliyor.
Event viewer a düştüğü anda wireshark ı eşleştirdim. filter'I kerberos olarakta yaptım fakat anormal bir makina auth failed olarak wiresharkta gözükmüyor.
DC eventlarına source IP ya da source mac bastırma yönte mi var mı? Ya da bu tarz bir problemi nasıl çözebilirim?