アカウント ロックアウト トラブルシューティング (第二回) –アカウント ロックアウトの調査方法

ドメインのグループ ポリシーで設定する場合は、Default Domain Controllers Policy などに設定します。
これにより、ドメイン コントローラー全台に上記の監査を有効にすることができます。

監査の有効化による影響としては、セキュリティ ログに書き込まれるイベントの数が増えることが挙げられます。セキュリテイログなどのイベントビューアーに記録される各ログは、最大サイズを超えると古いログが消去されるため、環境によっては数時間しか取得できないといった場合があるかもしれません。その場合は、「オブジェクト アクセスの監査」や「プロセス追跡の監査」などの非常に多数のイベントが記録される監査が有効になっていないか確認します。もしも「オブジェクト アクセスの監査」や「プロセス追跡の監査」が有効になっている場合は、アカウントロックアウトの調査のために無効化することも検討してみてください。

Windows Server 2008 以降のドメイン コントローラーでは、アカウント ロックアウトに関連するイベントとして、下記の ID のイベントが記録されます。

ID 4740  ユーザー アカウント ロックアウト
ID 4771  Kerberos 事前認証失敗 (Kerberos 認証の場合)
ID 4776  資格情報の確認 (NTLM 認証の場合)
ID 4625  アカウント ログオン 失敗 (NTLM 認証の場合、アクセス内容によっては記録されない場合があります)
ID 4767  ユーザー アカウントのロック解除

成功の監査,2014/10/29 7:22:40,Microsoft-Windows-Security-Auditing,4740,ユーザー アカウント管理,”ユーザー アカウントがロックアウトされました。サブジェクト:
セキュリティ ID:        SYSTEM
アカウント名:        W2008R2-01$
アカウント ドメイン:        CONTOSO
ログオン ID:        0x3e7

ロックアウトされたアカウント:
セキュリティ ID:        S-1-5-21-1343024091-746137067-725345543-3875
アカウント名:        User01                   <—– ロックアウトされたアカウント名

2015/02/02 09:49:33,Microsoft-Windows-Security-Auditing,4771,Kerberos 認証サービス,”Kerberos 事前認証に失敗しました。アカウント情報:
セキュリティ ID:  S-1-5-21-2091960205-3512297593-4257928271-1126
アカウント名:  User01

サービス情報:
サービス名:  krbtgt/contoso

ネットワーク情報:
クライアント アドレス:  :10.34.25.200   <—– 送信元の IP アドレス
クライアント ポート:  61904

追加情報:
チケット オプション:  0x40810010
エラー コード:  0x18                    <—– 0x18 は誤ったパスワードを使用して認証をしたことを示します。
事前認証の種類: 2

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2015/02/02 10:22:19
イベント ID:       4776
タスクのカテゴリ:      資格情報の確認
レベル:           情報
キーワード:         失敗の監査
ユーザー:          N/A
コンピューター:       W2008R2-SP1-07.contoso.com
説明:
コンピューターがアカウントの資格情報の確認を試行しました。認証パッケージ:      MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
ログオン アカウント:            User02
ソース ワークステーション:   WIN7-SP1-02    <—– 送信元のコンピュータ名
エラー コード:       0xc000006a               <—– 0xc000006a は誤ったパスワードを使用して認証をしたことを示します。