ドメインユーザーアカウントがロックを保持します。ログにヒントはありません

0

私はADの数分ごとにロックアウトし続けるアカウントを持っています。

Windows 7 Enterprise X64 PCを使用していますWindows 2003 STDサーバーを使用しています

これらは私が試したものです。

  1. 新しいプロファイルを作成しました。
  2. すべてのプリンターとマップされたドライバーを削除しました。
  3. Microsoft ALtoolのツールを使用しました(ログファイルはc:\ windows \ debugにありません)。

通常、ログファイルではアカウントがロックされていることを示しますが、以下に示すように何も言いません。

これらは、DCから取得したログファイルです。

675,AUDIT FAILURE,Security,Thu Oct 20 09:17:26 2011,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name: username     User ID:  %{S-1-5-21-284166382-85745802-1543857936-28692}     Service Name: krbtgt/domain     Pre-Authentication Type: 0x0     Failure Code: 0x12     Client Address: ip address     Certificate Issuer Name: %7     Certificate Serial Number: %8     Certificate Thumbprint: %9    
644,AUDIT SUCCESS,Security,Thu Oct 20 08:24:17 2011,NT AUTHORITY\SYSTEM,User Account Locked Out:     Target Account Name: username     Target Account ID: %{S-1-5-21-284166382-85745802-1543857936-28692}     Caller Machine Name:      Caller User Name: DC SERVER$     Caller Domain: domain     Caller Logon ID: (0x0,0x3E7)    
644,AUDIT SUCCESS,Security,Thu Oct 20 08:21:46 2011,NT AUTHORITY\SYSTEM,User Account Locked Out:     Target Account Name: username     Target Account ID: %{S-1-5-21-284166382-85745802-1543857936-28692}     Caller Machine Name:      Caller User Name: DC SERVER$     Caller Domain: domain     Caller Logon ID: (0x0,0x3E7)    
644,AUDIT SUCCESS,Security,Thu Oct 20 08:16:55 2011,NT AUTHORITY\SYSTEM,User Account Locked Out:     Target Account Name: username     Target Account ID: %{S-1-5-21-284166382-85745802-1543857936-28692}     Caller Machine Name:      Caller User Name: DC SERVER$     Caller Domain: domain     Caller Logon ID: (0x0,0x3E7)    
644,AUDIT SUCCESS,Security,Thu Oct 20 08:13:10 2011,NT AUTHORITY\SYSTEM,User Account Locked Out:     Target Account Name: username     Target Account ID: %{S-1-5-21-284166382-85745802-1543857936-28692}     Caller Machine Name:      Caller User Name: DC SERVER$     Caller Domain: domain     Caller Logon ID: (0x0,0x3E7)    
644,AUDIT SUCCESS,Security,Thu Oct 20 08:09:25 2011,NT AUTHORITY\SYSTEM,User Account Locked Out:     Target Account Name: username     Target Account ID: %{S-1-5-21-284166382-85745802-1543857936-28692}     Caller Machine Name:      Caller User Name: DC SERVER$     Caller Domain: domain     Caller Logon ID: (0x0,0x3E7)    
675,AUDIT FAILURE,Security,Thu Oct 20 07:50:08 2011,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name: username     User ID:  %{S-1-5-21-284166382-85745802-1543857936-28692}     Service Name: krbtgt/domain     Pre-Authentication Type: 0x2     Failure Code: 0x18     Client Address: ip address     Certificate Issuer Name: %7     Certificate Serial Number: %8     Certificate Thumbprint: %9    
675,AUDIT FAILURE,Security,Thu Oct 20 07:50:08 2011,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name: username     User ID:  %{S-1-5-21-284166382-85745802-1543857936-28692}     Service Name: krbtgt/domain     Pre-Authentication Type: 0x2     Failure Code: 0xE     Client Address: ip address     Certificate Issuer Name: %7     Certificate Serial Number: %8     Certificate Thumbprint: %9    
675,AUDIT FAILURE,Security,Thu Oct 20 07:49:59 2011,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name: username     User ID:  %{S-1-5-21-284166382-85745802-1543857936-28692}     Service Name: krbtgt/domain     Pre-Authentication Type: 0x2     Failure Code: 0x18     Client Address: ip address     Certificate Issuer Name: %7     Certificate Serial Number: %8     Certificate Thumbprint: %9    
675,AUDIT FAILURE,Security,Thu Oct 20 07:49:59 2011,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name: username     User ID:  %{S-1-5-21-284166382-85745802-1543857936-28692}     Service Name: krbtgt/domain     Pre-Authentication Type: 0x2     Failure Code: 0xE     Client Address: ip address     Certificate Issuer Name: %7     Certificate Serial Number: %8     Certificate Thumbprint: %9
windows-7  active-directory  windows-server-2003 
user630320
ソース
それらはPC上のキャッシュパスワードではなく、ユーザーが過去にログインしたすべてのPCをチェックしました。
StackOcerflowはプログラミングスタックExchangeであるため、ServerFaultでより多くの視聴者に質問をすることができます。
JPBlanc
2
ユーザーは他の場所にログインしましたか?キーボードの上に何かがありますか?冗談はありません、これは起こりました。
ベンキャンベル
ユーザーは、自動的にログインしてメールをチェックするスマートフォンを持っていますか?これは古いパスワードを使用している可能性があります。
jftuga
ユーザーはデスクトップPCとラップトップを持っていますが、一度に1つしか使用しません。スマートフォンなし
-user630320

回答:

2

Kerberosエラーコードの説明:

0x18-アカウントはロックされているか、ログオン時間外であるか、アカウントが無効になっています
0xE-KDCは暗号化タイプ
0x12をサポートしていません-KDCポリシーは要求を拒否します

0xEと0x12に基づいて、最初にそのマシンのシステム時間がDCの時間と一致していること、アカウントにログオン時間の制限がないこと、無効になっていないことを確認する必要があります。

また、どのドメイン/フォレスト機能レベルに設定されていますか?また、2008/2008 R2 DCはありますか?

HostBits
ソース
私はPCとサーバーの現地時間をチェックしましたが、それらは一致しています。2003年および2008年のDC R2
user630320
アカウントhsaがロックアウトされた場所を指定しない理由がわかりません。PC1がこのユーザーアカウントをロックしていることを示す必要がありますが、DCログには、アカウントがロックアウトされていることが示されます。
user630320
誰かがこれを手伝ってくれますか?
user630320
まだこの問題がありますか?上記以外のPC側から何をしましたか?ウイルス、マルウェアのチェック?ドメインから一時的に削除して動作を確認できますか?私はそれを検討したいと思います...(最初にローカル管理者アカウントを持っていることを確認してください。)
ベンキャンベル
1

最近、この小さな宝石に出会いました。ほぼ毎日ロックされているユーザーがいました。通常、ログオン時またはその後すぐに発生します(タイミングに一貫性はありませんでした)。

ロックアウトツールを使用して、ロックアウトが彼女が使用したことがないデスクトップからのものであると判断しました。ユーザーの命名規則y0000000が問題の一部であることが判明しました。アカウントをロックアウトしていたマシン上のユーザーは、ロックアウトされたユーザーアカウントと一致するように2つの数字を入れ替えました。キャッシュされていたため、他のアカウントでログインしたロックアウトマシンのユーザーがロックアウトされました。資格情報ストアを開き、問題のあるエントリを削除しました。

楽しい!

ジェリコ・ジョーンズ
ソース
0

別のユーザーで同じ問題が一度発生しましたが、PCにマルウェアが含まれていることがわかりました。Malwarebytesを使用して削除しましたが、ユーザーアカウントが再びロックアウトされるのを確認できませんでした。

ローウェル
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.