イベント4625監査失敗NULL SIDがネットワークログオンに失敗しました

3つの別々のシステムでは、ドメインコントローラーサーバーで次のイベントが何度も（システムによっては1日30〜4,000回の間で）ログに記録されます。

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

このイベントは、調査中に見つけた他のイベントとは少し異なりますが、次のことを確認しました。

1. Event ID: 4625。 "アカウントはログオンに失敗しました" 。
2. Logon Type: 3。 "ネットワーク（ネットワーク上の他の場所からこのコンピューター上の共有フォルダーへの接続）" 。
3. Security ID: NULL SID。 "有効なアカウントが識別されませんでした" 。
4. Sub Status: 0xC0000064。 "ユーザー名が存在しません" 。
5. Caller Process Name: C:\Windows\System32\lsass.exe。 Local Security Authority Subsystem Service（LSASS））は、Microsoft Windowsオペレーティングシステムのプロセスであり、システムにセキュリティポリシーを適用します。Windowsコンピューターまたはサーバーにログオンしているユーザーを確認し、パスワードの変更を処理します。アクセストークンを作成します。また、Windowsセキュリティログにも書き込みます。
6. Workstation Name: SERVERNAME。認証要求がドメインコントローラ自体によって、またはドメインコントローラ自体を介して送信されています。

影響を受けるシステムの類似点：

1. サーバーオペレーティングシステム：Windows Small Business Server 2011またはWindows Server 2012 R2 Essentials
2. デスクトップオペレーティングシステム：Windows 7 Professional（一般的に）

影響を受けるシステムの違い：

1. アンチウイルス
2. Active Directory統合インターネットフィルタリング
3. デスクトップキャッシュログオン
4. 役割（Exchange、バックアップなど）

最も深刻な影響を受けたシステムで私が気付いたいくつかの興味深いこと：

1. 最近、Windows Server 2012 R2 EssentialsのOffice 365統合を介して、Active DirectoryとOffice 365ユーザーアカウントのパスワードの同期を開始しました。統合には、Office 365管理者のパスワードとセキュリティポリシーのエスカレーションが必要です。同期では、各ユーザーアカウントを対応するMicrosoftオンラインアカウントに割り当てる必要があります。これには、次回のログオン時にアカウントのパスワードを変更する必要があります。また、Active Directoryドメインと信頼関係のプライマリメールドメインをUPNサフィックスとして追加し、すべてのユーザーアカウントのUPNをメールドメインに変更しました。事実上、これにより、ユーザーは自分の電子メールアドレスとパスワードを使用してドメインとOffice 365にログオンできました。ただし、これにより、1日あたりに記録されるイベントの数が900から3,900に増加しました。注：管理またはジョブベース（バックアップ、スキャナーなど）のユーザーアカウントは変更されておらず、システムのどの部分にもアクセスできないユーザーはいます。
2. イベントの大部分は、ユーザーが職場に到着する〜09：00を除いて、通常30分または60分ごとに定期的にログに記録されるようです：2015/07/02 18:55
   2015/07/02 19:25
   2015/07/02 19:54
   2015/07/02 20:25
   2015/07/02 20:54
   2015/07/02 21:25
   2015/07/02 22:24
   2015/07/02 23:25
   2015/07/03 00:25
   2015/07/03 01:24
   2015/07/03 01:55
   2015/07/03 02:24
   2015/07/03 02:55
   2015/07/03 03:55
   2015/07/03 04:55
   2015/07/03 05:54
   2015/07/03 06:25
   2015/07/03 07:25
   2015/07/03 08:24
   2015/07/03 08:27
   2015/07/03 08:49
   2015/07/03 08:52
   2015/07/03 08:54
   2015/07/03 08:56
   2015/07/03 08:57
   2015/07/03 09:00
   2015/07/03 09:01
   2015/07/03 09:03
   2015/07/03 09:06
   2015/07/03 09:08
   2015/07/03 09:10
   2015/07/03 09:12
   2015/07/03 09:13
   2015/07/03 09:17
   2015/07/03 09:13
   2015/07/03 09:25
   2015/07/03 10:24
   2015/07/03 11:25

3. 次のイベントは、ターミナル/リモートデスクトップサービスサーバーに記録されますが、何回も近くはありません。

   An account failed to log on.
   
   Subject:
       Security ID:        NULL SID
       Account Name:       -
       Account Domain:     -
       Logon ID:       0x0
   
   Logon Type:         3
   
   Account For Which Logon Failed:
       Security ID:        NULL SID
       Account Name:       %terminalServerHostname%
       Account Domain:     %NetBIOSDomainName%
   
   Failure Information:
       Failure Reason:     Unknown user name or bad password.
       Status:         0xC000006D
       Sub Status:     0xC0000064
   
   Process Information:
       Caller Process ID:  0x0
       Caller Process Name:    -
   
   Network Information:
       Workstation Name:   %terminalServerHostname%
       Source Network Address: %terminalServerIPv6Address%
       Source Port:        %randomHighNumber%
   
   Detailed Authentication Information:
       Logon Process:      NtLmSsp 
       Authentication Package: NTLM
       Transited Services: -
       Package Name (NTLM only):   -
       Key Length:     0
   
   This event is generated when a logon request fails. It is generated on the computer where access was attempted.
   
   The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
   
   The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
   
   The Process Information fields indicate which account and process on the system requested the logon.
   
   The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
   
   The authentication information fields provide detailed information about this specific logon request.
       - Transited services indicate which intermediate services have participated in this logon request.
       - Package name indicates which sub-protocol was used among the NTLM protocols.
       - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
   

つまり、要約すると、それは間違いなく、スタッフのユーザーアカウントを使用したデスクトップコンピューターからのネットワークアクセスに関連しているようですが、その方法はわかりません。

更新2015/08/25 08:48：

最も深刻な影響を受けたシステムでは、問題を特定するために以下を実行し、それぞれの変更を元に戻しました。

1. ターミナル/リモートデスクトップサービスサーバーをシャットダウンし、一般的な失敗したログオンdidを続行します。
2. ドメインコントローラーサーバーをネットワークから切断し、一般的な失敗したログオンdidを続行しました。
3. ネットワークを使用せずにサーバーをセーフモードで再起動し、一般的な失敗したログオンは続行されませんでしたが続行されました。
4. すべての「不要な」サービス（監視エージェント、バックアップ、ネットワークフィルタリング統合、TeamViewer、アンチウイルスなど）を停止して無効にし、一般的な失敗したログオンdidを続行します。
5. Windows Server Essentialsサービス（WseComputerBackupSvc、WseEmailSvc、WseHealthSvc、WseMediaSvc、WseMgmtSvc、およびWseNtfSvc ）および一般的な失敗したログオンは続行されませんでした。
6. 最終的に、Windows Server Essentials管理サービス（WseMgmtSvc）を停止して無効にし、一般的な失敗したログオンは続行されませんでしたが続行されました。

Windows Server Essentials管理サービス（WseMgmtSvc）が数日間無効にしてこれらの一般的な失敗したログオンを担当していることと、一般的な失敗したログオンがなく、数日間有効にしていたことを再確認しました何千もの一般的な失敗したログオンでした。

更新2015/10/08 09:06：

2015/10/07の16:42に、次のスケジュールされたタスクを見つけました。

• 名前：「アラート評価」
• 場所：「\ Microsoft\Windows\Windows Server Essentials」
• 著者：「マイクロソフト株式会社」
• 説明：「このタスクは定期的にコンピュータの状態を評価します。」
• アカウント：「SYSTEM」
• トリガー：「2014年10月28日08:54-トリガー後、30分ごとに無期限に繰り返す」
• アクション：「プログラムを起動します：C：\ Windows\System32\Essentials\RunTask.exe /asm:"C:\Windows\Microsoft.Net\Assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll " /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask/method：EvaluateAlertsTaskAction/task： "アラート評価" "

この時間枠は上記の動作とほぼ正確に一致しているため、問題に影響があるかどうかを確認するために無効にしました。

2015/10/08の08:57に、不規則な間隔でログに記録されたこれらの一般的な失敗したログオンの47のみが見つかりました。

そこで、さらに絞り込みました。