[Samba] RemoteApp Failed Logon
Kelsen Faria
ti at dipaula.com.br
Thu Nov 6 04:47:28 MST 2014
I have MS AD DC running Windows Server 2008 R2 and I decided to use
samba 4 Version 4.1.6-Ubuntu as Domain Controller Member but I've had
some problems with Web Access RemoteApp when the TS uses samba as logon
server, the logon account fail, see below:
Nome do Log: Security
Fonte: Microsoft-Windows-Security-Auditing
Data: 06/11/2014 08:08:08
Identificação do Evento:4625
Categoria da Tarefa:Logon
Nível: Informações
Palavras-chave:Falha de Auditoria
Usuário: N/D
Computador: srvcheina.dipaula.local
Descrição:
*Falha no logon de uma conta.*
Requerente:
Identificação de segurança: IIS APPPOOL\RDWebAccess
Nome da conta: RDWebAccess
Domínio da conta: IIS APPPOOL
Identificação de logon: 0x714dc
Tipo de logon: 3
Conta cujo logon falhou:
Identificação de segurança: *NULL SID*
Nome da conta:
Domínio da conta:
Informações da falha:
Razão da falha: *Erro durante o logon.*
Status: 0xc000009a
Substatus: 0x0
Informações do processo:
ID de processo do chamador: 0xe48
Nome de processo do chamador: C:\Windows\System32\inetsrv\w3wp.exe
Informações da rede:
Nome da estação de trabalho: SRVCHEINA
Endereço da rede de origem: -
Porta de origem: -
Informações detalhadas da autenticação:
Processo de logon: Authz
Pacote de autenticação: Kerberos
Serviços transitados: -
Nome do pacote (somente NTLM): -
Comprimento da chave: 0
:Este evento é gerado quando uma solicitação de logon falha. Ele é
gerado no computador em houve a tentativa de acesso.
Os campos do assunto indicam a Conta Sistema Local que solicitou o
logon. Comumente, isto é um serviço como o de servidor ou um processo
local como Winlogon.exe ou Services.exe.
O campo tipo de logon indica o tipo de logon ocorrido. Os tipos mais
comuns são 2 (interativo) e 3 (em rede).
Os campos de informações do processo indicam qual conta ou processo do
sistema solicitaram o logon.
Os campos informações de rede indicam onde a solicitação de logon remoto
se originou. O nome da estação de trabalho nem sempre está disponível e
pode ser deixado em branco em alguns casos.
Os campos de informações de autenticação fornecem informações detalhadas
sobre esta solicitação específica de logon.
- Serviços transitados indicam qual serviço intermediário
participou desta solicitação de logon.
- Nome de pacote indica qual subprotocolo foi usado, entre os
protocolos NTLM.
- Comprimento da chave indica o comprimento da chave da sessão
gerada. Ele será 0 se nenhuma chave de sessão foi solicitada.
XML de Evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing"
Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2014-11-06T10:08:08.150870300Z" />
<EventRecordID>119539</EventRecordID>
<Correlation />
<Execution ProcessID="552" ThreadID="3864" />
<Channel>Security</Channel>
<Computer>srvcheina.dipaula.local</Computer>
<Security />
</System>
<EventData>
<Data
Name="SubjectUserSid">S-1-5-82-604604840-3341247844-1790606609-4006251754-2470522317</Data>
<Data Name="SubjectUserName">RDWebAccess</Data>
<Data Name="SubjectDomainName">IIS APPPOOL</Data>
<Data Name="SubjectLogonId">0x714dc</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">
</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="Status">0xc000009a</Data>
<Data Name="FailureReason">%%2304</Data>
<Data Name="SubStatus">0x0</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Authz </Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">SRVCHEINA</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0xe48</Data>
<Data Name="ProcessName">C:\Windows\System32\inetsrv\w3wp.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
And this is what was expected:
Nome do Log: Security
Fonte: Microsoft-Windows-Security-Auditing
Data: 06/11/2014 08:08:08
Identificação do Evento:4624
Categoria da Tarefa:Logon
Nível: Informações
Palavras-chave:Sucesso da Auditoria
Usuário: N/D
Computador: srvcheina.dipaula.local
Descrição:
O logon de uma conta foi efetuado com sucesso.
Requerente:
Identificação de segurança: IIS APPPOOL\RDWebAccess
Nome da conta: RDWebAccess
Domínio da conta: IIS APPPOOL
Identificação de logon: 0x714dc
Tipo de logon: 3
Novo logon:
Identificação de segurança: DIPAULA\joao.junior
Nome da conta: joao.junior
Domínio da conta: DIPAULA
Identificação de logon: 0x2941ada
GUID de logon: {00000000-0000-0000-0000-000000000000}
Informações do processo:
Identificação do processo: 0xe48
Nome do processo: C:\Windows\System32\inetsrv\w3wp.exe
Informações da rede:
Nome da estação de trabalho: SRVCHEINA
Endereço da rede de origem: -
Porta de origem: -
Informações detalhadas da autenticação:
Processo de logon: Advapi
Pacote de autenticação: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Serviços transitados: -
Nome do pacote (somente NTLM): -
Comprimento da chave: 0
Este evento é gerado quando uma sessão de logon é criada. Ele é gerado
no computador acessado.
Os campos do assunto indicam a Conta Sistema Local que solicitou o
logon. Comumente, isto é um serviço como o de servidor ou um processo
local como Winlogon.exe ou Services.exe.
O campo tipo de logon indica o tipo de logon ocorrido. Os tipos mais
comuns são 2 (interativo) e 3 (em rede).
Os campos Novo logon indicam as contas para a qual o novo logon foi
criada, isto é, a conta na qual o logon foi efetuado.
Os campos de rede indicam onde a solicitação de logon remoto se
originou. O nome da estação de trabalho nem sempre está disponível e
pode ser deixado em branco em alguns casos.
Os campos de informações de autenticação fornecem informações detalhadas
sobre esta solicitação específica de logon.
-O GUID de logon é um identificador exclusivo que pode ser usado
para correlacionar este evento com um evento de KDC.
- Serviços transitados indicam qual serviço intermediário
participou desta solicitação de logon.
- Nome de pacote indica qual subprotocolo foi usado, entre os
protocolos NTLM.
- Comprimento da chave indica o comprimento da chave da sessão
gerada. Ele será 0 se nenhuma chave de sessão foi solicitada.
XML de Evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing"
Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-11-06T10:08:08.135295900Z" />
<EventRecordID>119537</EventRecordID>
<Correlation />
<Execution ProcessID="552" ThreadID="3864" />
<Channel>Security</Channel>
<Computer>srvcheina.dipaula.local</Computer>
<Security />
</System>
<EventData>
<Data
Name="SubjectUserSid">S-1-5-82-604604840-3341247844-1790606609-4006251754-2470522317</Data>
<Data Name="SubjectUserName">RDWebAccess</Data>
<Data Name="SubjectDomainName">IIS APPPOOL</Data>
<Data Name="SubjectLogonId">0x714dc</Data>
<Data
Name="TargetUserSid">S-1-5-21-2996175323-1857418608-3211334177-1214</Data>
<Data Name="TargetUserName">joao.junior</Data>
<Data Name="TargetDomainName">DIPAULA</Data>
<Data Name="TargetLogonId">0x2941ada</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Advapi </Data>
<Data
Name="AuthenticationPackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="WorkstationName">SRVCHEINA</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0xe48</Data>
<Data Name="ProcessName">C:\Windows\System32\inetsrv\w3wp.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
It works when the TS uses MS DC.
--
Kelsen Faria
More information about the samba
mailing list