Windows 多个域控制器的锁定事件 (4740)
Windows lockout event (4740) with mutilpe domain controllers
如果我在网络上有两个 DC,并且用户在 Srv2 上被锁定(事件 4740),这个事件是否也可以传播到 Srv1 的事件日志或者是否有控制它的设置?
我希望可以只检查一个事件日志来读取整个域的所有锁定事件。据我推断,evt 4740 似乎只出现在实际发生锁定的服务器上。
我已经有几年没接触过 AD 了,但我相信锁定会发生在一个控制器上,然后其他 DC 会通过同步接收数据但不会记录该锁定。它可能在同步日志中,但很可能不在。
你没有说你是否有只读 DC,但我怀疑你没有。
我认为您必须阅读您拥有的 DC 的所有事件日志。您可能想考虑 'Splunk' 等。我记得它在我 3 年前工作的一家公司中使用过。但是,我与 'splunk' 没有任何关系,而且我对它的了解还不足以以任何方式提倡它。
事件转发,将事件从一台计算机转发到另一台计算机。这可用于在特定计算机上收集事件以简化事件日志处理。
Microsoft 有一篇关于此的技术文章:
https://technet.microsoft.com/en-us/library/cc748890.aspx
Windows IT-pro 还有一篇关于故障排除事件日志转发的文章:
如果我在网络上有两个 DC,并且用户在 Srv2 上被锁定(事件 4740),这个事件是否也可以传播到 Srv1 的事件日志或者是否有控制它的设置?
我希望可以只检查一个事件日志来读取整个域的所有锁定事件。据我推断,evt 4740 似乎只出现在实际发生锁定的服务器上。
我已经有几年没接触过 AD 了,但我相信锁定会发生在一个控制器上,然后其他 DC 会通过同步接收数据但不会记录该锁定。它可能在同步日志中,但很可能不在。
你没有说你是否有只读 DC,但我怀疑你没有。
我认为您必须阅读您拥有的 DC 的所有事件日志。您可能想考虑 'Splunk' 等。我记得它在我 3 年前工作的一家公司中使用过。但是,我与 'splunk' 没有任何关系,而且我对它的了解还不足以以任何方式提倡它。
事件转发,将事件从一台计算机转发到另一台计算机。这可用于在特定计算机上收集事件以简化事件日志处理。
Microsoft 有一篇关于此的技术文章:
https://technet.microsoft.com/en-us/library/cc748890.aspx
Windows IT-pro 还有一篇关于故障排除事件日志转发的文章: