I have MS AD DC running Windows Server 2008 R2 and I decided to use
samba 4 Version 4.1.6-Ubuntu as Domain Controller Member but I've had
some problems with Web Access RemoteApp when the TS uses samba as logon
server, the logon account fail, see below:
Nome do Log: Security
Fonte: Microsoft-Windows-Security-Auditing
Data: 06/11/2014 08:08:08
Identifica??o do Evento:4625
Categoria da Tarefa:Logon
N?vel: Informa??es
Palavras-chave:Falha de Auditoria
Usu?rio: N/D
Computador: srvcheina.dipaula.local
Descri??o:
*Falha no logon de uma conta.*
Requerente:
Identifica??o de seguran?a: IIS APPPOOL\RDWebAccess
Nome da conta: RDWebAccess
Dom?nio da conta: IIS APPPOOL
Identifica??o de logon: 0x714dc
Tipo de logon: 3
Conta cujo logon falhou:
Identifica??o de seguran?a: *NULL SID*
Nome da conta:
Dom?nio da conta:
Informa??es da falha:
Raz?o da falha: *Erro durante o logon.*
Status: 0xc000009a
Substatus: 0x0
Informa??es do processo:
ID de processo do chamador: 0xe48
Nome de processo do chamador: C:\Windows\System32\inetsrv\w3wp.exe
Informa??es da rede:
Nome da esta??o de trabalho: SRVCHEINA
Endere?o da rede de origem: -
Porta de origem: -
Informa??es detalhadas da autentica??o:
Processo de logon: Authz
Pacote de autentica??o: Kerberos
Servi?os transitados: -
Nome do pacote (somente NTLM): -
Comprimento da chave: 0
:Este evento ? gerado quando uma solicita??o de logon falha. Ele ?
gerado no computador em houve a tentativa de acesso.
Os campos do assunto indicam a Conta Sistema Local que solicitou o
logon. Comumente, isto ? um servi?o como o de servidor ou um processo
local como Winlogon.exe ou Services.exe.
O campo tipo de logon indica o tipo de logon ocorrido. Os tipos mais
comuns s?o 2 (interativo) e 3 (em rede).
Os campos de informa??es do processo indicam qual conta ou processo do
sistema solicitaram o logon.
Os campos informa??es de rede indicam onde a solicita??o de logon remoto
se originou. O nome da esta??o de trabalho nem sempre est? dispon?vel e
pode ser deixado em branco em alguns casos.
Os campos de informa??es de autentica??o fornecem informa??es detalhadas
sobre esta solicita??o espec?fica de logon.
- Servi?os transitados indicam qual servi?o intermedi?rio
participou desta solicita??o de logon.
- Nome de pacote indica qual subprotocolo foi usado, entre os
protocolos NTLM.
- Comprimento da chave indica o comprimento da chave da sess?o
gerada. Ele ser? 0 se nenhuma chave de sess?o foi solicitada.
XML de Evento:
<Event
xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing"
Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2014-11-06T10:08:08.150870300Z" />
<EventRecordID>119539</EventRecordID>
<Correlation />
<Execution ProcessID="552" ThreadID="3864" />
<Channel>Security</Channel>
<Computer>srvcheina.dipaula.local</Computer>
<Security />
</System>
<EventData>
<Data
Name="SubjectUserSid">S-1-5-82-604604840-3341247844-1790606609-4006251754-2470522317</Data>
<Data Name="SubjectUserName">RDWebAccess</Data>
<Data Name="SubjectDomainName">IIS APPPOOL</Data>
<Data Name="SubjectLogonId">0x714dc</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">
</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="Status">0xc000009a</Data>
<Data Name="FailureReason">%%2304</Data>
<Data Name="SubStatus">0x0</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Authz </Data>
<Data
Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">SRVCHEINA</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0xe48</Data>
<Data
Name="ProcessName">C:\Windows\System32\inetsrv\w3wp.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
And this is what was expected:
Nome do Log: Security
Fonte: Microsoft-Windows-Security-Auditing
Data: 06/11/2014 08:08:08
Identifica??o do Evento:4624
Categoria da Tarefa:Logon
N?vel: Informa??es
Palavras-chave:Sucesso da Auditoria
Usu?rio: N/D
Computador: srvcheina.dipaula.local
Descri??o:
O logon de uma conta foi efetuado com sucesso.
Requerente:
Identifica??o de seguran?a: IIS APPPOOL\RDWebAccess
Nome da conta: RDWebAccess
Dom?nio da conta: IIS APPPOOL
Identifica??o de logon: 0x714dc
Tipo de logon: 3
Novo logon:
Identifica??o de seguran?a: DIPAULA\joao.junior
Nome da conta: joao.junior
Dom?nio da conta: DIPAULA
Identifica??o de logon: 0x2941ada
GUID de logon: {00000000-0000-0000-0000-000000000000}
Informa??es do processo:
Identifica??o do processo: 0xe48
Nome do processo: C:\Windows\System32\inetsrv\w3wp.exe
Informa??es da rede:
Nome da esta??o de trabalho: SRVCHEINA
Endere?o da rede de origem: -
Porta de origem: -
Informa??es detalhadas da autentica??o:
Processo de logon: Advapi
Pacote de autentica??o: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Servi?os transitados: -
Nome do pacote (somente NTLM): -
Comprimento da chave: 0
Este evento ? gerado quando uma sess?o de logon ? criada. Ele ? gerado
no computador acessado.
Os campos do assunto indicam a Conta Sistema Local que solicitou o
logon. Comumente, isto ? um servi?o como o de servidor ou um processo
local como Winlogon.exe ou Services.exe.
O campo tipo de logon indica o tipo de logon ocorrido. Os tipos mais
comuns s?o 2 (interativo) e 3 (em rede).
Os campos Novo logon indicam as contas para a qual o novo logon foi
criada, isto ?, a conta na qual o logon foi efetuado.
Os campos de rede indicam onde a solicita??o de logon remoto se
originou. O nome da esta??o de trabalho nem sempre est? dispon?vel e
pode ser deixado em branco em alguns casos.
Os campos de informa??es de autentica??o fornecem informa??es detalhadas
sobre esta solicita??o espec?fica de logon.
-O GUID de logon ? um identificador exclusivo que pode ser usado
para correlacionar este evento com um evento de KDC.
- Servi?os transitados indicam qual servi?o intermedi?rio
participou desta solicita??o de logon.
- Nome de pacote indica qual subprotocolo foi usado, entre os
protocolos NTLM.
- Comprimento da chave indica o comprimento da chave da sess?o
gerada. Ele ser? 0 se nenhuma chave de sess?o foi solicitada.
XML de Evento:
<Event
xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing"
Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-11-06T10:08:08.135295900Z" />
<EventRecordID>119537</EventRecordID>
<Correlation />
<Execution ProcessID="552" ThreadID="3864" />
<Channel>Security</Channel>
<Computer>srvcheina.dipaula.local</Computer>
<Security />
</System>
<EventData>
<Data
Name="SubjectUserSid">S-1-5-82-604604840-3341247844-1790606609-4006251754-2470522317</Data>
<Data Name="SubjectUserName">RDWebAccess</Data>
<Data Name="SubjectDomainName">IIS APPPOOL</Data>
<Data Name="SubjectLogonId">0x714dc</Data>
<Data
Name="TargetUserSid">S-1-5-21-2996175323-1857418608-3211334177-1214</Data>
<Data Name="TargetUserName">joao.junior</Data>
<Data Name="TargetDomainName">DIPAULA</Data>
<Data Name="TargetLogonId">0x2941ada</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Advapi </Data>
<Data
Name="AuthenticationPackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="WorkstationName">SRVCHEINA</Data>
<Data
Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0xe48</Data>
<Data
Name="ProcessName">C:\Windows\System32\inetsrv\w3wp.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
It works when the TS uses MS DC.
--
Kelsen Faria
