您好 @冉凡瑞,
欢迎您来到微软中文论坛。
要确定用户 liu_liang 的登录失败是通过哪种方式(MAPI、OWA、SMTP),可以通过以下方法进行分析:
- 您提供的日志信息中,事件ID为 4625,表示登录失败。登录类型为 3,表示网络登录。要进一步确定登录方式,您可以检查与此事件相关的其他日志,特别是应用程序日志和Exchange相关的日志。
- 日志中显示登录进程为 NtLmSsp,身份验证数据包为 NTLM。这表明使用了NTLM身份验证协议。不同的登录方式可能使用不同的身份验证协议,这可以作为区分的线索。
- 日志中提供了源网络地址 172.21.34.28 和源端口 54812。您可以检查Exchange服务器上的连接,看看这个IP地址和端口是否对应于特定的邮件协议。
- Exchange服务器通常会记录各个协议的使用情况。您可以检查MAPI、OWA、SMTP的日志,看看是否有对应时间的登录失败记录。
- 如果上述方法无法确定,您可以考虑在Exchange服务器上启用更详细的审核日志,以捕获更多关于登录尝试的信息。
如果答案有帮助,请点击“接受答案”并投赞成票。如果您对此答案有其他疑问,请点击“评论”。