Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

Question Observateur d'événement DC Windows 2008 R2

Modérateurs : Modérateurs, Modérateurs_Systèmes

Question Observateur d'événement DC Windows 2008 R2

Message par lenettoyeur » Jeu 04 Fév 2016, 15:21

Bonjour,

j'ai des événements 4624 qui correspondent à des ouvertures de sessions sur mon DC 2008 R2,
le problème c'est que ces ouvertures se font en pleine nuit.

Dans l'observateur d'événement de mon DC (AD + DNS) j'ai :
l’événement 4769, Microsoft Windows security auditing (un ticket de service Kerberos a été demandé) date et heure : 02/02/2016 à 3h43 et 34s
l'événement 4624, l'ouverture de session d'un compte s'est correctement déroulée, date et heure : 02/02/2016 à 3h43 et 34s
l'événement 4634, fermeture de session d'un compte, date et heure : 02/02/2016 à 3h43 et 34s

ça pour plusieurs users qui font tranquillement dodo chez eux... 8O

si quelqu'un pouvait me rassurer, j'ai cherché mais en vain

Cordialement,
lenettoyeur
N00b
N00b
 
Message(s) : 7
Inscription : Jeu 04 Fév 2016, 15:07

Re: Question Observateur d'événement DC Windows 2008 R2

Message par magnancc51 » Jeu 04 Fév 2016, 15:35

Salut,

Tu es allé voir les postes de ces users ?
MCSA 2000/2003 Messagerie - MCSE 2000/2003 - MCITP Enterprise Administrator - MCTS Exchange 2010 - MCSA 2008/2012
Avatar de l’utilisateur
magnancc51
Keyboard Master
Keyboard Master
 
Message(s) : 5803
Inscription : Jeu 14 Oct 2004, 14:00
Localisation : Aix en Provence

Re: Question Observateur d'événement DC Windows 2008 R2

Message par lenettoyeur » Jeu 04 Fév 2016, 15:50

Bonjour et merci pour la réponse,

je suis allé voir,
et à la même heure j'ai sur le poste client un événement 4648, Microsoft Windows security auditing
Tentative d’ouverture de session en utilisant des informations d’identification explicites.

un événement 4672, Microsoft Windows security auditing
Privilèges spéciaux attribués à la nouvelle ouverture de session.

un événement 4624, Microsoft Windows security auditing
L’ouverture de session d’un compte s’est correctement déroulée.

un événement 4634, Microsoft Windows security auditing
Fermeture de session d’un compte.

tout ces événement à la même heure, même minute et même second...

Cordialement,
lenettoyeur
N00b
N00b
 
Message(s) : 7
Inscription : Jeu 04 Fév 2016, 15:07

Re: Question Observateur d'événement DC Windows 2008 R2

Message par magnancc51 » Jeu 04 Fév 2016, 16:04

Par sécurité, tu as un fais un scan antivirus/malware ?
MCSA 2000/2003 Messagerie - MCSE 2000/2003 - MCITP Enterprise Administrator - MCTS Exchange 2010 - MCSA 2008/2012
Avatar de l’utilisateur
magnancc51
Keyboard Master
Keyboard Master
 
Message(s) : 5803
Inscription : Jeu 14 Oct 2004, 14:00
Localisation : Aix en Provence

Re: Question Observateur d'événement DC Windows 2008 R2

Message par lenettoyeur » Jeu 04 Fév 2016, 16:09

Oui avec la dernière version d'Eset et rien de détecté...

je précise que les postes en question peuvent rester allumés si l'utilisateur ne l’éteint pas.

Cordialement,
lenettoyeur
N00b
N00b
 
Message(s) : 7
Inscription : Jeu 04 Fév 2016, 15:07

Re: Question Observateur d'événement DC Windows 2008 R2

Message par magnancc51 » Jeu 04 Fév 2016, 16:14

Passe un coup de MalwareByte pour voir...
MCSA 2000/2003 Messagerie - MCSE 2000/2003 - MCITP Enterprise Administrator - MCTS Exchange 2010 - MCSA 2008/2012
Avatar de l’utilisateur
magnancc51
Keyboard Master
Keyboard Master
 
Message(s) : 5803
Inscription : Jeu 14 Oct 2004, 14:00
Localisation : Aix en Provence

Re: Question Observateur d'événement DC Windows 2008 R2

Message par lenettoyeur » Jeu 04 Fév 2016, 16:19

sur le serveur aussi ?
lenettoyeur
N00b
N00b
 
Message(s) : 7
Inscription : Jeu 04 Fév 2016, 15:07

Re: Question Observateur d'événement DC Windows 2008 R2

Message par magnancc51 » Jeu 04 Fév 2016, 16:31

A première vue, ceux sont tes postes qui contactent le DC, pas l'inverse :)

M'enfin, si tu n'es pas sûr de ton serveur... :mrgreen:
MCSA 2000/2003 Messagerie - MCSE 2000/2003 - MCITP Enterprise Administrator - MCTS Exchange 2010 - MCSA 2008/2012
Avatar de l’utilisateur
magnancc51
Keyboard Master
Keyboard Master
 
Message(s) : 5803
Inscription : Jeu 14 Oct 2004, 14:00
Localisation : Aix en Provence

Re: Question Observateur d'événement DC Windows 2008 R2

Message par lenettoyeur » Jeu 04 Fév 2016, 17:22

je ne vais pas dire que je suis sur de mon serveur je n'aurais pas posté un message autrement :roll:
ce qui est surprenant c'est que l'ouverture et la fermeture de session se fait à la même heure / minute et seconde.

il doit y avoir une explication, je vais continuer mes recherches,

Cdt
lenettoyeur
N00b
N00b
 
Message(s) : 7
Inscription : Jeu 04 Fév 2016, 15:07

Re: Question Observateur d'événement DC Windows 2008 R2

Message par lenettoyeur » Jeu 04 Fév 2016, 17:50

Aucun problème détecté av Malwarebyte
lenettoyeur
N00b
N00b
 
Message(s) : 7
Inscription : Jeu 04 Fév 2016, 15:07

Re: Question Observateur d'événement DC Windows 2008 R2

Message par Timil » Jeu 04 Fév 2016, 19:59

Salut

Ils ont des smartphones?
Ils ont un compte exchange sur ces téléphones?
...
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 17052
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: Question Observateur d'événement DC Windows 2008 R2

Message par lenettoyeur » Ven 05 Fév 2016, 10:14

Salut,
non pas de smartphone et pas de wifi,
Cdt
lenettoyeur
N00b
N00b
 
Message(s) : 7
Inscription : Jeu 04 Fév 2016, 15:07

Re: Question Observateur d'événement DC Windows 2008 R2

Message par magnancc51 » Mar 28 Juin 2016, 17:10

C'est normal que tu répondes 4 mois plus tard ?
MCSA 2000/2003 Messagerie - MCSE 2000/2003 - MCITP Enterprise Administrator - MCTS Exchange 2010 - MCSA 2008/2012
Avatar de l’utilisateur
magnancc51
Keyboard Master
Keyboard Master
 
Message(s) : 5803
Inscription : Jeu 14 Oct 2004, 14:00
Localisation : Aix en Provence

Re: Question Observateur d'événement DC Windows 2008 R2

Message par kazer » Mer 29 Juin 2016, 14:37

magnancc51 a écrit :C'est normal que tu répondes 4 mois plus tard ?

Il a dû effacer son message :)
Guillaume DESFARGES Image Image Image
MCPTS Windows Server 2008/Virtualisation - MCITP: Enterprise Desktop Win7
MVP Directory Services (2004)/Security (2005-07)/Setup&Dep: Architecture (2008-15)/Cloud and Datacenter Management, Windows and Devices IT (2016)
Profil MVP - Articles - Transcript (ID: 661703 Pass: Gdesfarges) - Bibliographie
Supinfo Promo 2001
Avatar de l’utilisateur
kazer
First Lord
First Lord
 
Message(s) : 45488
Inscription : Ven 26 Oct 2001, 21:39
Localisation : Dans la grisaille de l'ile de france

Re: Question Observateur d'événement DC Windows 2008 R2

Message par Timil » Mer 29 Juin 2016, 15:55

Je confirme :D
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 17052
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg


Retour vers Autres Problèmes AD

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Majestic-12 [Bot] et 9 invité(s)



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive