lorsqu'un pc win2000 d'une agence se loggue sur le domaine (DC au siege
social) des erreurs apparaissent dans le log du serveur
comment faire ?
----------------------------------------------------------------------------
------------
Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Connexion de compte
ID de l'événement : 676
Date : 24/06/2004
Heure : 11:59:28
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : XEON
Description :
Échec de la demande de ticket d'authentification :
Nom de l'utilisateur : icr
<------ ne correspond pas au login connecté sur le client
Nom de domaine Kerberos fourni : domaine.LOCAL
Nom du service : krbtgt/domaine.LOCAL
Options du ticket : 0x40810010
Code d'échec : 0x6
Adresse du client : ip du client
---------------------------------------------------------------------------
------------
Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Connexion de compte
ID de l'événement : 681
Date : 24/06/2004
Heure : 11:59:29
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : XEON
Description :
Échec de l'ouverture de session sur le compte : icr
par : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
depuis la station de travail : NOM DE LA MACHINE
Le code d'erreur est : 3221225572
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Smain
Salut
Vérifiez si l'adresse IP de l'Event 676 correspond à la machine sous le compte de "icr" car il me semble que ces deux logs proviennent de la même machine. Il me semble que quelqu'un avait essayé de logguer à partir de la machine "icr" avec un faux "username", pas un faux password car si c'était un faux password c'est l'Event 575 qui aurait été enregistré. KRBTGT (Kerberos Ticket-Granting-Ticket) n'a pas delivré le ticket et l'authentification a échoué. Si vous êtes l'Administrateur, demandez - ou imposez - le changement du password sur "icr", et essayez de revoir votre stratégie sécuritaire.
Bonne chance !
Smain
"Bertrand" wrote in message news: | bonjour | | lorsqu'un pc win2000 d'une agence se loggue sur le domaine (DC au siege | social) des erreurs apparaissent dans le log du serveur | | comment faire ? | | ---------------------------------------------------------------------------- | ------------ | Type de l'événement : Audit des échecs | Source de l'événement : Security | Catégorie de l'événement : Connexion de compte | ID de l'événement : 676 | Date : 24/06/2004 | Heure : 11:59:28 | Utilisateur : AUTORITE NTSYSTEM | Ordinateur : XEON | Description : | Échec de la demande de ticket d'authentification : | Nom de l'utilisateur : icr | <------ ne correspond pas au login connecté sur le client | Nom de domaine Kerberos fourni : domaine.LOCAL | Nom du service : krbtgt/domaine.LOCAL | Options du ticket : 0x40810010 | Code d'échec : 0x6 | Adresse du client : ip du client | --------------------------------------------------------------------------- | ------------ | | Type de l'événement : Audit des échecs | Source de l'événement : Security | Catégorie de l'événement : Connexion de compte | ID de l'événement : 681 | Date : 24/06/2004 | Heure : 11:59:29 | Utilisateur : AUTORITE NTSYSTEM | Ordinateur : XEON | Description : | Échec de l'ouverture de session sur le compte : icr | par : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 | depuis la station de travail : NOM DE LA MACHINE | Le code d'erreur est : 3221225572 | | | merci | |
Salut
Vérifiez si l'adresse IP de l'Event 676 correspond à la machine sous le
compte de "icr" car il me semble que ces deux logs proviennent de la même
machine. Il me semble que quelqu'un avait essayé de logguer à partir de la
machine "icr" avec un faux "username", pas un faux password car si c'était
un faux password c'est l'Event 575 qui aurait été enregistré. KRBTGT
(Kerberos Ticket-Granting-Ticket) n'a pas delivré le ticket et
l'authentification a échoué. Si vous êtes l'Administrateur, demandez - ou
imposez - le changement du password sur "icr", et essayez de revoir votre
stratégie sécuritaire.
Bonne chance !
Smain
"Bertrand" <thebeb@hotmail.com> wrote in message
news:e6K23NdWEHA.808@tk2msftngp13.phx.gbl...
| bonjour
|
| lorsqu'un pc win2000 d'une agence se loggue sur le domaine (DC au siege
| social) des erreurs apparaissent dans le log du serveur
|
| comment faire ?
|
| ----------------------------------------------------------------------------
| ------------
| Type de l'événement : Audit des échecs
| Source de l'événement : Security
| Catégorie de l'événement : Connexion de compte
| ID de l'événement : 676
| Date : 24/06/2004
| Heure : 11:59:28
| Utilisateur : AUTORITE NTSYSTEM
| Ordinateur : XEON
| Description :
| Échec de la demande de ticket d'authentification :
| Nom de l'utilisateur : icr
| <------ ne correspond pas au login connecté sur le client
| Nom de domaine Kerberos fourni : domaine.LOCAL
| Nom du service : krbtgt/domaine.LOCAL
| Options du ticket : 0x40810010
| Code d'échec : 0x6
| Adresse du client : ip du client
| ---------------------------------------------------------------------------
| ------------
|
| Type de l'événement : Audit des échecs
| Source de l'événement : Security
| Catégorie de l'événement : Connexion de compte
| ID de l'événement : 681
| Date : 24/06/2004
| Heure : 11:59:29
| Utilisateur : AUTORITE NTSYSTEM
| Ordinateur : XEON
| Description :
| Échec de l'ouverture de session sur le compte : icr
| par : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
| depuis la station de travail : NOM DE LA MACHINE
| Le code d'erreur est : 3221225572
|
|
| merci
|
|
Vérifiez si l'adresse IP de l'Event 676 correspond à la machine sous le compte de "icr" car il me semble que ces deux logs proviennent de la même machine. Il me semble que quelqu'un avait essayé de logguer à partir de la machine "icr" avec un faux "username", pas un faux password car si c'était un faux password c'est l'Event 575 qui aurait été enregistré. KRBTGT (Kerberos Ticket-Granting-Ticket) n'a pas delivré le ticket et l'authentification a échoué. Si vous êtes l'Administrateur, demandez - ou imposez - le changement du password sur "icr", et essayez de revoir votre stratégie sécuritaire.
Bonne chance !
Smain
"Bertrand" wrote in message news: | bonjour | | lorsqu'un pc win2000 d'une agence se loggue sur le domaine (DC au siege | social) des erreurs apparaissent dans le log du serveur | | comment faire ? | | ---------------------------------------------------------------------------- | ------------ | Type de l'événement : Audit des échecs | Source de l'événement : Security | Catégorie de l'événement : Connexion de compte | ID de l'événement : 676 | Date : 24/06/2004 | Heure : 11:59:28 | Utilisateur : AUTORITE NTSYSTEM | Ordinateur : XEON | Description : | Échec de la demande de ticket d'authentification : | Nom de l'utilisateur : icr | <------ ne correspond pas au login connecté sur le client | Nom de domaine Kerberos fourni : domaine.LOCAL | Nom du service : krbtgt/domaine.LOCAL | Options du ticket : 0x40810010 | Code d'échec : 0x6 | Adresse du client : ip du client | --------------------------------------------------------------------------- | ------------ | | Type de l'événement : Audit des échecs | Source de l'événement : Security | Catégorie de l'événement : Connexion de compte | ID de l'événement : 681 | Date : 24/06/2004 | Heure : 11:59:29 | Utilisateur : AUTORITE NTSYSTEM | Ordinateur : XEON | Description : | Échec de l'ouverture de session sur le compte : icr | par : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 | depuis la station de travail : NOM DE LA MACHINE | Le code d'erreur est : 3221225572 | | | merci | |
Smain
J'avais dit:
"Il me semble que quelqu'un avait essayé de logguer à partir de la machine "icr" avec un faux "username"..."
En fait, pas nécéssairement à partir de la machine "icr", cela peut se faire à partir de n'importe quel machine avec la tentative d'utiliser compte "icr".
Cordialement.
Smain
"Bertrand" wrote in message news: | bonjour | | lorsqu'un pc win2000 d'une agence se loggue sur le domaine (DC au siege | social) des erreurs apparaissent dans le log du serveur | | comment faire ? | | ---------------------------------------------------------------------------- | ------------ | Type de l'événement : Audit des échecs | Source de l'événement : Security | Catégorie de l'événement : Connexion de compte | ID de l'événement : 676 | Date : 24/06/2004 | Heure : 11:59:28 | Utilisateur : AUTORITE NTSYSTEM | Ordinateur : XEON | Description : | Échec de la demande de ticket d'authentification : | Nom de l'utilisateur : icr | <------ ne correspond pas au login connecté sur le client | Nom de domaine Kerberos fourni : domaine.LOCAL | Nom du service : krbtgt/domaine.LOCAL | Options du ticket : 0x40810010 | Code d'échec : 0x6 | Adresse du client : ip du client | --------------------------------------------------------------------------- | ------------ | | Type de l'événement : Audit des échecs | Source de l'événement : Security | Catégorie de l'événement : Connexion de compte | ID de l'événement : 681 | Date : 24/06/2004 | Heure : 11:59:29 | Utilisateur : AUTORITE NTSYSTEM | Ordinateur : XEON | Description : | Échec de l'ouverture de session sur le compte : icr | par : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 | depuis la station de travail : NOM DE LA MACHINE | Le code d'erreur est : 3221225572 | | | merci | |
J'avais dit:
"Il me semble que quelqu'un avait essayé de logguer à partir de la machine
"icr" avec un faux "username"..."
En fait, pas nécéssairement à partir de la machine "icr", cela peut se faire
à partir de n'importe quel machine avec la tentative d'utiliser compte
"icr".
Cordialement.
Smain
"Bertrand" <thebeb@hotmail.com> wrote in message
news:e6K23NdWEHA.808@tk2msftngp13.phx.gbl...
| bonjour
|
| lorsqu'un pc win2000 d'une agence se loggue sur le domaine (DC au siege
| social) des erreurs apparaissent dans le log du serveur
|
| comment faire ?
|
| ----------------------------------------------------------------------------
| ------------
| Type de l'événement : Audit des échecs
| Source de l'événement : Security
| Catégorie de l'événement : Connexion de compte
| ID de l'événement : 676
| Date : 24/06/2004
| Heure : 11:59:28
| Utilisateur : AUTORITE NTSYSTEM
| Ordinateur : XEON
| Description :
| Échec de la demande de ticket d'authentification :
| Nom de l'utilisateur : icr
| <------ ne correspond pas au login connecté sur le client
| Nom de domaine Kerberos fourni : domaine.LOCAL
| Nom du service : krbtgt/domaine.LOCAL
| Options du ticket : 0x40810010
| Code d'échec : 0x6
| Adresse du client : ip du client
| ---------------------------------------------------------------------------
| ------------
|
| Type de l'événement : Audit des échecs
| Source de l'événement : Security
| Catégorie de l'événement : Connexion de compte
| ID de l'événement : 681
| Date : 24/06/2004
| Heure : 11:59:29
| Utilisateur : AUTORITE NTSYSTEM
| Ordinateur : XEON
| Description :
| Échec de l'ouverture de session sur le compte : icr
| par : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
| depuis la station de travail : NOM DE LA MACHINE
| Le code d'erreur est : 3221225572
|
|
| merci
|
|
"Il me semble que quelqu'un avait essayé de logguer à partir de la machine "icr" avec un faux "username"..."
En fait, pas nécéssairement à partir de la machine "icr", cela peut se faire à partir de n'importe quel machine avec la tentative d'utiliser compte "icr".
Cordialement.
Smain
"Bertrand" wrote in message news: | bonjour | | lorsqu'un pc win2000 d'une agence se loggue sur le domaine (DC au siege | social) des erreurs apparaissent dans le log du serveur | | comment faire ? | | ---------------------------------------------------------------------------- | ------------ | Type de l'événement : Audit des échecs | Source de l'événement : Security | Catégorie de l'événement : Connexion de compte | ID de l'événement : 676 | Date : 24/06/2004 | Heure : 11:59:28 | Utilisateur : AUTORITE NTSYSTEM | Ordinateur : XEON | Description : | Échec de la demande de ticket d'authentification : | Nom de l'utilisateur : icr | <------ ne correspond pas au login connecté sur le client | Nom de domaine Kerberos fourni : domaine.LOCAL | Nom du service : krbtgt/domaine.LOCAL | Options du ticket : 0x40810010 | Code d'échec : 0x6 | Adresse du client : ip du client | --------------------------------------------------------------------------- | ------------ | | Type de l'événement : Audit des échecs | Source de l'événement : Security | Catégorie de l'événement : Connexion de compte | ID de l'événement : 681 | Date : 24/06/2004 | Heure : 11:59:29 | Utilisateur : AUTORITE NTSYSTEM | Ordinateur : XEON | Description : | Échec de l'ouverture de session sur le compte : icr | par : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 | depuis la station de travail : NOM DE LA MACHINE | Le code d'erreur est : 3221225572 | | | merci | |
Bertrand
Vérifiez si l'adresse IP de l'Event 676 correspond à la machine sous le compte de "icr" car il me semble que ces deux logs proviennent de la même machine.
oui c'est la meme machine
Il me semble que quelqu'un avait essayé de logguer à partir de la
machine "icr" avec un faux "username", pas un faux password car si c'était un faux password c'est l'Event 575 qui aurait été enregistré. KRBTGT (Kerberos Ticket-Granting-Ticket) n'a pas delivré le ticket et l'authentification a échoué.
le pb est qu'il n'y a pas de machine icr. Un routeur mal configuré peut-il empecher le bon fonctionnement de AD ?
Si vous êtes l'Administrateur, demandez - ou
imposez - le changement du password sur "icr", et essayez de revoir votre stratégie sécuritaire.
stratégie sécuritaire ???
Vérifiez si l'adresse IP de l'Event 676 correspond à la machine sous le
compte de "icr" car il me semble que ces deux logs proviennent de la même
machine.
oui c'est la meme machine
Il me semble que quelqu'un avait essayé de logguer à partir de la
machine "icr" avec un faux "username", pas un faux password car si c'était
un faux password c'est l'Event 575 qui aurait été enregistré. KRBTGT
(Kerberos Ticket-Granting-Ticket) n'a pas delivré le ticket et
l'authentification a échoué.
le pb est qu'il n'y a pas de machine icr.
Un routeur mal configuré peut-il empecher le bon fonctionnement de AD ?
Si vous êtes l'Administrateur, demandez - ou
imposez - le changement du password sur "icr", et essayez de revoir votre
stratégie sécuritaire.
Vérifiez si l'adresse IP de l'Event 676 correspond à la machine sous le compte de "icr" car il me semble que ces deux logs proviennent de la même machine.
oui c'est la meme machine
Il me semble que quelqu'un avait essayé de logguer à partir de la
machine "icr" avec un faux "username", pas un faux password car si c'était un faux password c'est l'Event 575 qui aurait été enregistré. KRBTGT (Kerberos Ticket-Granting-Ticket) n'a pas delivré le ticket et l'authentification a échoué.
le pb est qu'il n'y a pas de machine icr. Un routeur mal configuré peut-il empecher le bon fonctionnement de AD ?
Si vous êtes l'Administrateur, demandez - ou
imposez - le changement du password sur "icr", et essayez de revoir votre stratégie sécuritaire.
stratégie sécuritaire ???
Smain
Bertrand,
Je n'ai aucune idée ni les moyens de connaitre le compte "icr" dont le message d'erreur fait référence. Cette tâche vous revient. S'agit-il d'un hacker ? Ché pas. En tout cas les messages d'erreur indiquent que le ticket d'autentification n'a pas été délivré en raison d'un username incorrect.
Pour en ce qui concerne la question: "un routeur mal configuré peut-il empecher le bon fonctionnement de AD ?". Ça c'est une question très générale qui est en dehors du sujet principal de votre posting, à savoir l'erreur 676 et 681.
Par stratégie sécuritaire, j'enttendais par exemple le verrouillage d'un compte après 2 ou 3 tentatives de logon sans succès, un audit, un password long et mélangé de chiffres et de lettres, l'empêchement d'un logon en dehors des horaires de travail, etc.
Enfin, un bonjour, bonsoir ou au revoir sont des formules gratuites et peuvent apporter beaucoup de choses dans un échange pareil ;-)
Cordialement.
Smain
"Bertrand" wrote in message news: | | > Vérifiez si l'adresse IP de l'Event 676 correspond à la machine sous le | > compte de "icr" car il me semble que ces deux logs proviennent de la même | > machine. | | oui c'est la meme machine | | Il me semble que quelqu'un avait essayé de logguer à partir de la | > machine "icr" avec un faux "username", pas un faux password car si c'était | > un faux password c'est l'Event 575 qui aurait été enregistré. KRBTGT | > (Kerberos Ticket-Granting-Ticket) n'a pas delivré le ticket et | > l'authentification a échoué. | | le pb est qu'il n'y a pas de machine icr. | Un routeur mal configuré peut-il empecher le bon fonctionnement de AD ? | | | Si vous êtes l'Administrateur, demandez - ou | > imposez - le changement du password sur "icr", et essayez de revoir votre | > stratégie sécuritaire. | | stratégie sécuritaire ??? | |
Bertrand,
Je n'ai aucune idée ni les moyens de connaitre le compte "icr" dont le
message d'erreur fait référence. Cette tâche vous revient. S'agit-il d'un
hacker ? Ché pas. En tout cas les messages d'erreur indiquent que le
ticket d'autentification n'a pas été délivré en raison d'un username
incorrect.
Pour en ce qui concerne la question: "un routeur mal configuré peut-il
empecher le bon fonctionnement de AD ?". Ça c'est une question très
générale qui est en dehors du sujet principal de votre posting, à savoir
l'erreur 676 et 681.
Par stratégie sécuritaire, j'enttendais par exemple le verrouillage d'un
compte après 2 ou 3 tentatives de logon sans succès, un audit, un password
long et mélangé de chiffres et de lettres, l'empêchement d'un logon en
dehors des horaires de travail, etc.
Enfin, un bonjour, bonsoir ou au revoir sont des formules gratuites et
peuvent apporter beaucoup de choses dans un échange pareil ;-)
Cordialement.
Smain
"Bertrand" <thebeb@hotmail.com> wrote in message
news:eDZk4jNXEHA.3284@TK2MSFTNGP12.phx.gbl...
|
| > Vérifiez si l'adresse IP de l'Event 676 correspond à la machine sous le
| > compte de "icr" car il me semble que ces deux logs proviennent de la
même
| > machine.
|
| oui c'est la meme machine
|
| Il me semble que quelqu'un avait essayé de logguer à partir de la
| > machine "icr" avec un faux "username", pas un faux password car si
c'était
| > un faux password c'est l'Event 575 qui aurait été enregistré. KRBTGT
| > (Kerberos Ticket-Granting-Ticket) n'a pas delivré le ticket et
| > l'authentification a échoué.
|
| le pb est qu'il n'y a pas de machine icr.
| Un routeur mal configuré peut-il empecher le bon fonctionnement de AD ?
|
|
| Si vous êtes l'Administrateur, demandez - ou
| > imposez - le changement du password sur "icr", et essayez de revoir
votre
| > stratégie sécuritaire.
|
| stratégie sécuritaire ???
|
|
Je n'ai aucune idée ni les moyens de connaitre le compte "icr" dont le message d'erreur fait référence. Cette tâche vous revient. S'agit-il d'un hacker ? Ché pas. En tout cas les messages d'erreur indiquent que le ticket d'autentification n'a pas été délivré en raison d'un username incorrect.
Pour en ce qui concerne la question: "un routeur mal configuré peut-il empecher le bon fonctionnement de AD ?". Ça c'est une question très générale qui est en dehors du sujet principal de votre posting, à savoir l'erreur 676 et 681.
Par stratégie sécuritaire, j'enttendais par exemple le verrouillage d'un compte après 2 ou 3 tentatives de logon sans succès, un audit, un password long et mélangé de chiffres et de lettres, l'empêchement d'un logon en dehors des horaires de travail, etc.
Enfin, un bonjour, bonsoir ou au revoir sont des formules gratuites et peuvent apporter beaucoup de choses dans un échange pareil ;-)
Cordialement.
Smain
"Bertrand" wrote in message news: | | > Vérifiez si l'adresse IP de l'Event 676 correspond à la machine sous le | > compte de "icr" car il me semble que ces deux logs proviennent de la même | > machine. | | oui c'est la meme machine | | Il me semble que quelqu'un avait essayé de logguer à partir de la | > machine "icr" avec un faux "username", pas un faux password car si c'était | > un faux password c'est l'Event 575 qui aurait été enregistré. KRBTGT | > (Kerberos Ticket-Granting-Ticket) n'a pas delivré le ticket et | > l'authentification a échoué. | | le pb est qu'il n'y a pas de machine icr. | Un routeur mal configuré peut-il empecher le bon fonctionnement de AD ? | | | Si vous êtes l'Administrateur, demandez - ou | > imposez - le changement du password sur "icr", et essayez de revoir votre | > stratégie sécuritaire. | | stratégie sécuritaire ??? | |
