Добрый день.
Есть домен. Групповыми политиками задано: после 3 неудачных попыток учетка пользователя блокируется.
Внезапно началось массовое блокирование различных учеток домена. В логах контроллера домена вижу (событие 4776) вижу ПК (Source Workstation) с не типичным для нашей сети именем sa0775. Таких событий очень много, ПК один, а учетные записи разные. Т.е. что-то с этого ПК пытается подобрать пароль к учетным записям.

ПК с таким именем не пингуется, записи о нем нет ни в DHCP, ни в DNS. Как можно вычислить этот ПК?

сперва поглядеть на шлюз, на предмет отпубликованных RDP.
потом попинговать хост и сразу поглядть в arp (от пинга можно закрыться фаерволом, а от arp не получится).
если хост внутри, то вы получите MAC адрес.
дальше дело за таблицами ethernet switching'а на свитчах и поиска порта с этим маком.

Спасибо. А другие способы есть? Может какой-нибудь аудит включить на контроллере домена?