如何调查与 Outlook Exchange Server 身份验证相关的 Windows 网络锁定?

如何调查与 Outlook Exchange Server 身份验证相关的 Windows 网络锁定?

我是最终用户,不是 IT 专业人员。不幸的是,我的公司资源无法解决这个问题。我正在寻找一些建议来给他们。

在过去四个月里,我平均每天在公司网络上被锁定 2-3 次。几天都没有问题,但一天就被锁定了 7 次。在过去的 8 年里,我被锁定过两次。

每次账户被锁定,我都需要致电公司帮助台才能解锁账户。账户被锁定的原因是我们的安全系统“认为”我正在反复尝试使用无效凭证(错误密码)进行身份验证。

迄今为止极其繁琐的调试过程的全部细节都在我的一篇博客文章中:http://tech.kateva.org/2009/05/debugging-network-account-lockouts.html

大约一周前,我破解了 Outlook 2007,我的锁定问题消失了。代价是,每天 Outlook 客户端第一次连接到 Exchange 服务器时,我都必须手动进行身份验证(域/用户名和密码)。虽然很烦人,但我可以忍受。

自从我开始这个过程以来,我的笔记本电脑已经焕然一新。我有了新的硬件,带有原始的企业标准磁盘映像,我又回到了 Outlook 2003。但我又被锁定了!

所以我不认为问题出在我的笔记本电脑上。

经过进一步调查,我发现如果我发送 Outlook 2003 以始终请求凭据,那么我就不会被锁定。

因此,我需要了解身份验证过程有何不同

a. Outlook 连接到 Exchange 并使用与我的用户帐户 (NTLM 网络域/un 和 pw) 关联的凭据自动进行身份验证 (标准行为)。

b. Outlook 连接到 Exchange,我必须手动输入我的网络 un 和 pw。

'b' 不知何故工作正常。但是我认为,进程 'a' 中的 Exchange Server(我们的 Outlook?)向 Active Directory 发送了错误的凭据,导致我被锁定。

我怀疑我的 Active Directory 帐户和/或 Exchange Server 邮箱配置错误。

我需要向我们的服务台和安全台提供一份他们可以在 Active Directory 或 Exchange Server 上调查的事项的详细列表。如果我无法做到这一点,我将需要获取新的公司 ID 并放弃我现有的用户 ID。

我认为如果我能为他们指明正确的方向,并给予他们相当精确的指导,他们就能解决这个问题。

任何建议都会有帮助。我可能只需要研究 NTLM (AD) 身份验证如何与 Exchange Server 请求配合使用。

答案1

在我过去工作过的一家大型机构中,我们曾遇到过帐户锁定的问题。

我(作为 IT 组织的一员)所做的是构建一个位于 PDC(现在是 PDC 模拟器)上的脚本。每当帐户被锁定时,此域控制器都会注册事件 ID #644(Windows Server 2008 上为 4740)在安全日志中。该事件还包括上次尝试使用不正确密码登录的客户端计算机的名称。因此,我的脚本每 5 分钟轮询一次安全日志,并将这些数据发布到服务台可以访问的网页上。

一旦我们有了这些,只要帮助台的工作流程发生变化,他们就会在遇到帐户锁定问题时检查该页面,然后帮助用户发现导致锁定的原因,这是一件小事。正如您在博客文章中指出的那样,罪魁祸首通常是第二台机器,用户在更改主要机器的密码时忘记了自己已登录。通常,第二台机器会运行 Outlook,或者通过用户(现已过期)的凭据映射驱动器。

当服务台工作空闲时,他们可以积极主动地检查此网页并解决那些尚不知道自己已成为帐户锁定受害者的人们的问题。

如果对这个脚本感兴趣的话,我可以把它挖出来,掸掉灰尘,然后发布在这里。

答案2

另一个答案,同样从 IT 角度来看,就是重新考虑帐户锁定策略。

锁定策略设置很常见,例如 10 分钟内 10 次错误登录尝试会导致完全锁定直到管理员重置帐户。不仅如此,如此低的限制还使您容易受到简单的拒绝服务 (DoS) 攻击:BadGuy(TM) 只需使用 10 个错误密码,现在他就锁定了帐户。想象一下这种情况发生在 500 个帐户上!我见过:这很不好玩。更糟糕的是,想象一下您的所有管理员帐户都遭遇这种情况!

我的论点是,这个限制可以大大放宽,而安全风险只会增加很少一部分。

如果密码非常复杂,暴力破解密码需要数千次甚至数百万次尝试才有可能成功。那么为什么不考虑一个密码策略,允许 5 分钟内登录 50 次,然后在 5 分钟后自动重置呢?按照这个速度(每 5 分钟尝试 50 次),大多数暴力破解脚本都会放弃,但大多数粗略的 DoS 尝试不会达到极限。那些暴力破解脚本做过请记住,帐户将在 5 分钟后解锁,允许再尝试 50 次,每天最多可尝试 7200 次。当然,您可以随意调整限制。

答案3

我假设您用于 Exchange 的用户名、密码和域与您登录计算机的凭据相同。

如果在重新安装公司 SOE 后问题再次出现,并且只发生在您身上……您是否有漫游配置文件,或者您的设置以任何其他方式推送到网络位置?如果是这样,那就可以解释为什么问题在工作站刷新后仍然存在。您的博客文章说您“将数据恢复”到新的 SOE 上。您确定您没有恢复有问题的应用程序吗?

卸载您可能已添加到 Outlook 2003 的所有插件,以及自您收到新的 SOE 以来对其进行的任何其他非标准(不是您的 IT 部门为您安装的)自定义设置。

大多数情况下,我看到这种情况是因为有人在计划任务或锁定的远程桌面会话中留下了旧凭据。您可以尝试使用 Wireshark 和 Sysinternals 工具的组合来识别计算机上导致锁定的违规进程(假设它来自您的计算机)。

更新

Microsoft 提供的此链接可能会帮助您和/或您的 IT 团队解决此问题。

[解决账户锁定问题](http://technet.microsoft.com/en-us/library/cc773155(WS.10).aspx“微软技术网”)

答案4

有一件事让我很烦恼,那就是 DC 和工作站上的时间同步问题可能妨碍了 Kerberos。时间不对会导致登录失败,从而导致锁定。命令“w32tm”可以帮助您诊断工作站的时间是否与 DC 或 Exchange 服务器(或彼此)不一致。我认为您不需要任何特殊权限即可检查该命令。

这是我的猜测手动 Outlook 登录会启动一个全新的登录会话,而不是尝试重新使用您在登录桌面会话时获得的令牌。无论出于何种原因,这都不会像桌面登录那样过时。

我接下来要寻找的是可疑的事件日志条目,但我认为这已经完成了。不幸的是,我无法描述“可疑”是什么样子。我会将正常的 Exchange 直通登录与您失败的登录进行比较,如果差异不明显,我会开始在 Google 上搜索差异。:}

相关内容