问题
我有一个 Windows 域用户帐户,该帐户会定期自动锁定。
迄今为止的故障排除
域名上唯一应该自动锁定帐户的规则是登录尝试失败次数过多。
我认为没有任何恶意的人试图访问我的帐户。问题在我更改密码后开始出现,所以我认为这是一个存储凭据问题。此外,在事件查看器的系统日志中,我发现警告如下Security-Kerberos:
凭据管理器中存储的密码无效。这可能是由于用户从此计算机或其他计算机更改密码所致。要解决此错误,请在控制面板中打开凭据管理器,然后重新输入凭据 mydomain\myuser 的密码。
我检查了凭据管理器,里面只有TERMSRV/servername远程桌面存储的几个凭据。我知道哪个存储的凭据不正确,但它是为远程桌面访问特定机器而存储的,在出现警告时没有被使用(至少我没有使用)。Security-Kerberos系统启动时(Windows 更新重新启动后)会出现警告,今天早上没有人登录机器时也会出现警告。
SnOrfus 回答后的澄清:
终端服务器存储了一组无效凭据。其余凭据已知有效(经常使用且最近没有问题)。我今天早上登录域时没有出现问题。然后我运行 Windows 更新,重新启动了计算机。重新启动后,我无法登录(由于帐户被锁定)。解锁并登录域后,我检查了事件查看器,结果显示重新启动后凭据存在问题。
由于唯一存储的凭据(根据凭据管理器)用于终端服务器,为什么在未使用远程桌面时重新启动时会出现凭据问题?
问题
有人知道 Windows 7 是否会“随机”检查缓存凭据的身份验证?
答案1
不,事实并非如此。我怀疑可能是您仍存储了以前的凭据。尝试从凭据管理器中删除存储的凭据,然后连接并登录到域(这将重新缓存您的凭据)。
之后应该不会再有任何问题。
注意:系统管理员还可以使用其他方法可以用来使缓存凭据过期,但这里似乎不是这种情况。您可能想问一下,以防万一。
答案2
一些凭证问题可能与无效的时间设置和 Kerberos 有关。检查正在运行的机器,确保其时间正确。如果没有,请运行w32tm /resync它可能会有所帮助。
答案3
我最近也在几台电脑上遇到了这个问题,虽然这是一个老问题,但我想我还是会发布一些内容,因为已经有一个解决方案了。
我发现这是 Windows 7、8.1 和 10(至少到 1607)上的一个问题。
问题出在凭证管理器中,而不是用户凭证管理器中,而是出在系统帐户中。
故障排除
我在使用 GPO 时遇到了这个问题,该 GPO 从远程服务器复制文件。一切正常,直到用户更改了域密码,此时我们开始锁定帐户。
深入研究后,我在应用程序日志中发现了一个事件 4098,其中说明了以下内容。每次 GPO 更新时都会创建此事件,无论是通过使用 gpupdate 登录的用户,还是后台更新。
“File-Copy-GPO”组策略对象中的计算机“deployment.config”首选项未应用,因为它失败,错误代码为“0x8007052e 登录失败:未知用户名或密码错误”。此错误已被抑制。
进一步挖掘后,我在系统日志中发现了 EventID 14 事件,其中显示以下内容。列出的用户帐户是被锁定的帐户,所以我知道我走在正确的轨道上。
凭据管理器中存储的密码无效。这可能是由于用户从此计算机或其他计算机更改密码所致。要解决此错误,请在控制面板中打开凭据管理器,然后重新输入凭据的密码。
此时我知道是凭据管理器,但当我在各个用户(包括锁定的用户)中继续检查它时,我找不到它。这让我想到我应该检查系统凭据管理器,因为即使没有人以交互方式登录,我也看到了事件 ID。
解决方案
使用psexec -i -s -d cmd提升的命令提示符,然后在打开的系统帐户命令提示符中运行,rundll32 keymgr.dll,KRShowKeyMgr向我展示了我所寻找的内容。对于托管 GPO 试图复制的文件的服务器,有一个使用相关用户帐户的存储凭据。
资源
在尝试查找有关此问题的信息时,我遇到了这个问题以及以下两页。我希望这能对将来的其他人有所帮助。
http://btburnett.com/2014/05/windows-domain-account-lockout-mystery.html