[2003] Audit account logon problemen

Ik ben al even bezig met een goede manier te vinden hoe ik makkelijk en duidelijk een audit kan zetten voor alles account logon's in een domein met meerdere servers (waaronder een terminal server cluster).

Netwerk staat uit:

- Domain controller
- Application server
- 3x terminal server in cluster

Alle servers zijn Win2k3 Sp1 waar dus standaard Audit voor account logon en logon/logout als op geactiveerd is. Dus op de DC heb ik het (uit voorzorg) nog eens extra op de domain security policy gezet en voor elke server afzonderlijk staat het in de local security policy. Omdat er doordat logon/logoff ook ingeschakeld staat een helehoop data gelogd wordt die ik eigenlijk niet nodig heb, heb ik de max grootte in eventviewer op 20 mb gezet.
Met account logon dacht ik voldoende info te hebben (op de account logoff na dan, dat is even voor later zorg), echter klopt er geen hout van naar mijn idee. Ik zie bijv. veel te weinig account logon's staan en voor sommigen weer veel teveel en als ik het even snel test dan zie ik ook voor administrator geen enkele account logon te voorschijn komen, wel een aantal logon/logoff meldingen. Zo mis ik ook voor een willekeurige domein gebruiker die in logt via TS op het cluster of de App een helehoop account logon's.
Ik denk dat dit veroorzaakt wordt omdat de credentials gecached worden en dus niet voor elke poging de DC aangesproken hoeft te worden. Echter zouden ze dan nog wel in de eventviewer van die betreffende server moeten voorkomen? En daar mis ik ze dan ook weer.
Ik ben daarom eens gaan kijken naar welke meldingen van logon/logoff ik moet kijken adhv deze link:

http://technet2.microsoft...55a079d1033.mspx?mfr=true

Het leek er even op dat ID 528 logon was en 538 logoff, echter zijn dat er veel teveel. En als ik ze dan allemaal met het handje bekijk op logon type 10, dan klopt het nog niet (aantal teveel en aantal missen).

Kortom: ik zoek gewoon een simpele manier om te kunnen zien wanneer een willekeurige gebruiker (dus ook admin's) op welke server / PC in het domein inloggen en uitloggen (uitzonderingen daar gelaten wanneer iemand de stekker uit zijn PC of terminal zou trekken en dus niet netjes af meldt).

Klopt! Maar het klopt dus wel dat wanneer er gebruik gemaakt wordt van cached credentails, dit niet gelogd wordt in de eventviewer als account logon?

Dat lijkt niet veel te veranderen. Tevens is het een live omgeving dus ik wil ook niet teveel aanpassen.

Ik wil alleen zoveel mogelijk begrijpen van account logon audit's;

- wordt een account logon enkel op een DC in de eventviewer gelogd wanneer de DC aangesproken wordt om de credentials te verrifiëren
- wanneer een gebruiker in logt op een terminal server, wordt dan eigenlijk altijd de DC aangesproken om de credentials te verrifiëren of werkt een terminal server ook middels cached credentials
- wanneer een gebruiker zijn sessie op de terminal met het kruisje af sluit en deze later weer opent (moet daar dus wederom zijn user/pass voor invullen), wordt dat dan ook gewoon als een account logon en zo ja, zou dat dan ook in de eventviewer van de DC te lezen moeten zijn
- ik zie in de eventviewer van de terminalservers geen account logon's staan terwijl deze wel gelogd zouden moeten worden volgens de local security policy

Dit zijn zoal een aantal vragen waar ik ook op google weinig antwoord op krijg. Ik snap hoe ik audit's in moet stellen en waar ze voor dienen, maar echte troubleshooters kan ik niet vinden.

Hmm kom er net achter dat die Applicatie server ook een DC is, daar kwam ik dus ook nog een aantal missende account logon's tegen in de eventviewer Beeetje van me.

Anyway, heb nog even wat getest en ik mis nog altijd wel wat logon's, met name die van Administrator op de DC zelf. Ik weet eerlijk gezegd niet zo goed wat het voor gevolgen heeft als ik credential caching voor de DC uit schakel... lijkt me niet echt handig.