Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效

本文解决了当客户端计算机尝试访问运行 RDP 8.0 的主计算机时，会生成事件 4624 以及无效的客户端 IP 地址和端口号的问题。

适用于： Windows Server 2008 R2 Service Pack 1、Windows 7 Service Pack 1
原始 KB 编号： 3097467

症状

假设通过策略设置安装并启用适用于 Windows 7 和 Windows Server 2008 R2 (KB2592687) 的远程桌面协议 (RDP) 8.0 更新。 当用户的远程桌面登录到该计算机时，将记录安全事件 ID 4624，并显示无效的客户端 IP 地址和端口号，如下所示：

日志名称：安全性
源：Microsoft-Windows-Security-Auditing
日期：2015/9/14 下午 6：10：36
事件 ID：4624
任务类别：登录
级别：信息
关键字：Audit SuccessUser： N/A
计算机： <computerFQDN>
说明:
帐户已成功登录。

主题：
安全 ID：SYSTEM
帐户名称： < MachineName>$
帐户域： <DomainName>
登录 ID：0x3e7

登录类型：10

新建登录：安全 ID： < DomainName>\<username>
帐户名称： < 用户名>
帐户域： <DomainName>
登录 ID：0x35137
登录 GUID： {00000000-0000-0000-0000-000000000000}

进程信息：
进程 ID：0x7cc
进程名称：C:\Windows\System32\winlogon.exe

网络信息：
工作站名称：<computername>
源网络地址：244.230.0.0
源端口：0

详细的身份验证信息：
登录过程：User32
身份验证包：协商
传输服务： -
包名称 (NTLM 仅) ： -
密钥长度：0

创建登录会话时会生成此事件。 它是在访问的计算机上生成的。
主题字段指示请求登录的本地系统上的帐户。 这通常是服务器服务等服务，或者本地进程（如 Winlogon.exe 或 Services.exe）。 登录类型字段指示发生的登录类型。 最常见的类型为 2 (交互式) 和 3 (网络) 。 登录类型字段指示发生的登录类型。 最常见的类型为 2 (交互式) 和 3 (网络) 。 “新建登录”字段指示为其创建新登录的帐户，即登录的帐户。 网络字段指示远程登录请求的来源。 工作站名称并非始终可用，在某些情况下可能会留空。

身份验证信息字段提供有关此特定登录请求的详细信息。

• 登录 GUID 是一个唯一标识符，可用于将此事件与 KDC 事件相关联。
• 传输的服务指示哪些中间服务参与了此登录请求。
• 包名称指示 NTLM 协议之间使用了哪个子协议。
• 密钥长度指示生成的会话密钥的长度。 如果未请求任何会话密钥，则此值为 0。

原因

出现此问题的原因是 RDP 8.0 中的代码更改。 在 RDP 8.0 中，客户端 IP 地址存储在WTS_SOCKADDR结构中。 这不同于 RDP 7.0 (Windows 7 和 Windows Server 2008 R2) 中的默认 RDP 版本。

在 Windows 8 和 Windows Server 2012 (及更高版本的 Windows) 中，根据新设计重写用于记录此事件的代码逻辑。 这可以防止此问题的发生。

解决方案

若要解决此问题，请将 RDP 目标计算机升级到Windows 8或Windows Server 2012 (或更高版本) 。 或者，在 Windows 7 或 Windows Server 2008 R2 中禁用 RDP 8.0。

更多信息

如果使用第三方 RDP 组件登录到 Windows 7 或 Windows Server 2008 R2，当第三方组件使用相同的WTS_SOCKADDR结构时，也可能会遇到此问题。 在这种情况下，请考虑升级 OS，或联系组件提供商寻求帮助。