Bonjour,

Suite à un plantage du serveur (apparemment un problème de DNS/AD, je n'ai pas su trouver le responsable), j'ai remarqué pas mal d'erreurs d'audit avec l'id 4625 et un logon type 3 (donc venant du réseau interne si j'ai tout compris). Ce qui m'inquiète c'est que ça ressemble à des attaques avec des noms d'utilisateur "administrator" et des nom de machines inconnus. Il y en a presque toute les 5 minutes (y compris la nuit).

Est-ce que cela peut provenir d'un poste réseau "infecté" ? Comment en trouver l'origine ?

Merci.