Hello all,
I'va got a broker server for RDP connections and two RDS servers. All works fine, my users can open a session on a RDP server via the broker server. But, sometimes, when I look at in my event logs on the broker server, I'vre got 10+ event with id 4625 which explain me the account domain\srv-broker can't open a session becaues the user or the password is wrong.
the eventlog (sorry in french):
Échec d’ouverture de session d’un compte. Sujet : ID de sécurité : S-1-0-0 Nom du compte : - Domaine du compte : - ID d’ouverture de session : 0x0 Type d’ouverture de session : 3 Compte pour lequel l’ouverture de session a échoué : ID de sécurité : S-1-0-0 Nom du compte : server-SBK Domaine du compte : DOM Informations sur l’échec : Raison de l’échec : Nom d’utilisateur inconnu ou mot de passe incorrect. État : 0xC000006D Sous-état : 0xC0000064 Informations sur le processus : ID du processus de l’appelant : 0x0 Nom du processus de l’appelant : - Informations sur le réseau : Nom de la station de travail : server-SBK Adresse du réseau source : ::1 Port source : 53548 Informations détaillées sur l’authentification : Processus d’ouverture de session : NtLmSsp Package d’authentification : NTLM Services en transit : - Nom du package (NTLM uniquement) : - Longueur de clé : 0
My doubts are in the name of the account: why it's a name composed of my domaine name\ and the name of the server without the $ ?
I tried to log the netlogon process and in the log file I can find trace of the failure :
06/06 09:34:49 [LOGON] [3016] SamLogon: Network logon of DOM\server-SBK from server-SBK Entered 06/06 09:34:49 [CRITICAL] [3016] NlPrintRpcDebug: Couldn't get EEInfo for I_NetLogonSamLogonEx: 1761 (may be legitimate for 0xc0000064) 06/06 09:34:49 [LOGON] [3016] SamLogon: Network logon of DOM\server-SBK from server-SBK Returns 0xC0000064
So, my question is why and what trie to connect to my server broker from itself with a username like dom\server-sbk ?
And what can I do to stop these login ?
Thanks a all