アカウント ロックアウトの調査 2 (プロセスの特定)
目次
本記事はマイクロソフト社員によって公開されております。
いつも弊社製品をご利用いただきまして誠にありがとうございます。
本サイトでは弊社にお問い合わせいただく際に、事前に採取しておいたほうが良い内容についてご紹介しております。
このページでは、「アカウント ロックアウトの調査 (プロセスの特定)」 に必要な資料採取についてご紹介いたします。
本資料が有効なシナリオ
- ドメインに参加しているユーザーでアカウント ロックアウトが発生している
- 誤ったパスワードを送信しているコンピューターはすべて特定できているが、何のプロセスが送信しているかは特定できていない
アカウント ロックアウトの調査の流れ
アカウント ロックアウトの調査は、以下の 2 つのフェーズに大別され、このページでは「2. 送信元のコンピューターでのプロセスの特定」を扱います。
- 送信元の特定
- 送信元のコンピューターでのプロセスの特定
2 の調査の前に「1. 送信元の特定」を行う理由は、複数のコンピューターから誤った認証要求が行われている可能性があるためです。
「1. 送信元の特定」がまだ調査できていない場合は、「1. 送信元の特定」の調査を行う必要がありますので、以下の URL を参考にしてください。
採取いただく資料
- パケット キャプチャー
- WPR
- OS 構成情報
- イベント ログ
- 問題ステップ記録ツール
など
資料採取時の影響について
ログ採取中は各種リソースに多少の負荷がかかる可能性がございますが、通常、実影響はございません。
また、ログ採取にあたり再起動の必要はございません。
対象機器
- 誤ったパスワードを送信しているコンピューター
- 認証が行われる可能性があるすべてのドメイン コントローラー
事前準備 および 情報採取手順
採取対象機器にて、以下のリンクを参考に情報採取を実施していただきますようお願いいたします。
[誤ったパスワードを送信しているコンピューター] で以下の情報を採取します。
1 の情報採取後に、[認証が行われる可能性があるすべてのドメイン コントローラー] で以下の情報を採取します。
なお、1 の手順内の [2] 事象再現 にあたっては、誤ったパスワードによる認証を行っている時間帯で採取してください。
採取に失敗した場合は初めから情報を取り直していただく必要がございますので、事象が頻繁に頻繁に発生していない場合は何度か取り直していただく必要がございます。
手順は以上でございます。
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。