您目前已離線,請等候您的網際網路重新連線

在 Windows 7 和 Windows Server 2008 R2 的安全性事件識別碼 4624 中的無效的用戶端的 IP 位址

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:3097467
徵狀
假設已安裝 Windows 7 和 Windows Server 2008 R2 (KB2592687) 的遠端桌面通訊協定 (RDP) 8.0 更新,並透過原則設定啟用。當使用者的遠端桌面登入該電腦時,安全性事件識別碼 4624 會登載,並且顯示無效的用戶端 IP 位址和埠號,如下所示:

Log Name:      SecuritySource:        Microsoft-Windows-Security-AuditingDate:          9/14/2015 6:10:36 PMEvent ID:      4624Task Category: LogonLevel:         InformationKeywords:      Audit SuccessUser:          N/AComputer:      <computerFQDN> Description:An account was successfully logged on. Subject:       Security ID:            SYSTEM       Account Name:          < MachineName>$       Account Domain:         <DomainName>       Logon ID:         0x3e7  Logon Type:             10 New Logon:       Security ID:           < DomainName>\<username>       Account Name:          < UserName>       Account Domain:         <DomainName>       Logon ID:         0x35137       Logon GUID:       {00000000-0000-0000-0000-000000000000}  Process Information:       Process ID:       0x7cc       Process Name:           C:\Windows\System32\winlogon.exe Network Information:       Workstation Name:<computername>       Source Network Address: 244.230.0.0       Source Port:            0 Detailed Authentication Information:      Logon Process:          User32       Authentication Package: Negotiate      Transited Services:     -      Package Name (NTLM only):     -      Key Length:       0 This event is generated when a logon session is created. It is generated on the computer that was accessed. The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network). The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network). The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on. The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.The authentication information fields provide detailed information about this specific logon request.       - Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.       - Transited services indicate which intermediate services have participated in this logon request.       - Package name indicates which sub-protocol was used among the NTLM protocols.       - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
發生的原因
之所以發生這個問題,是因為 RDP 8.0 中的程式碼變更。RDP 8.0 中用戶端 IP 位址會儲存在 WTS_SOCKADDR 結構。這與不同 RDP 7.0 (預設 RDP 在 Windows 7 和 Windows Server 2008 R2 版本)。

Windows 8 和 Windows Server 2012 (及較新版本的 Windows),在記錄此事件的程式碼邏輯會重寫根據新的設計。可防止發生這個問題。
解決方案
若要解決這個問題,請將 RDP 目標電腦升級至 Windows 8 或 Windows Server 2012 (或更新版本)。或者,您也可以停用在 Windows 7 或 Windows Server 2008 R2 的 RDP 8.0。
其他相關資訊
如果您使用協力廠商的 RDP 元件來登入 Windows 7 或 Windows Server 2008 R2 該協力廠商元件使用相同的 WTS_SOCKADDR 結構時,您也可能會遇到這個問題。在此情況下,請考慮升級 OS 上,或與元件供應商以尋求協助。

警告:本文為自動翻譯

內容

文章識別碼:3097467 - 最後檢閱時間:10/06/2015 10:03:00 - 修訂: 2.0

Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Service Pack 1, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate

  • kbmt KB3097467 KbMtzh
意見反應