Cómo averiguar de dónde proviene el bash de inicio incorrecto de una count de dominio (Windows 2008 Server R2)

Tengo una count que sigue recibiendo bloqueado (una count de dominio).

Puedo ver cuando ocurrió la última connection incorrecta y el count de acceso incorrecta = 5. Lo que quiero determinar es la dirección IP de la máquina que es responsable de los inicios de session incorrectos.

¿Cómo puedo averiguarlo?

En primer lugar, se debe habilitar la auditoría de los errores de inicio de session. Como cuestión de práctica, siempre la he puesto en una política de dominio pnetworkingeterminada forzada, pero al less debería aplicársela a los controlleres de dominio. La input se denomina Eventos de inicio de session de auditoría de auditoría y, por alguna razón, sólo se realiza por defecto en el logging de éxito. Información sobre esta configuration está disponible en Microsoft en Technet aquí.

Una vez habilitada, los loggings de security del controller de dominio que procesa el inicio de session deben contener la información necesaria. Específicamente, compruebe si hay auditorías de errores de events de inicio de session / cierre de session. El nombre de usuario debe ser una columna llamada Usuario que puede orderar / filtrar para facilitar la búsqueda.