我有一台 Windows 7 笔记本电脑(域成员),当我将 VPN 连接到办公室时,主文件服务器/域控制器在 5-10 分钟内报告用户帐户登录失败,然后是 3,然后是 5,然后用户帐户锁定。
这种情况是在没有运行任何额外软件的情况下发生的,因此这不是 Outlook 问题。
我已经检查过控制面板并清除了 Windows 和 .Net 密码缓存。没有映射打印机,有一个映射驱动器但似乎可以工作,而且我找不到经常运行的计划任务。我已重置用户密码并将新密码放在笔记本电脑上。
我也在笔记本电脑上安装了 Wireshark,但所能看到的只是通过 VPN 传输的“加密流量”。
一位朋友说 Windows 7 和 Windows 2003 Server 存在问题,例如 LM 哈希设置需要修补程序。他的话很含糊,而另一位使用 Windows 7 的用户则没有遇到这种情况。
我怀疑这是 Windows 造成的,而不是第三方安装的程序......但我如何才能进一步深入研究并找出原因呢?
****更新:我已断开映射驱动器,但问题仍然存在——将 VPN 连接到办公室后两分钟内出现 4 次登录失败。
服务器上的事件日志显示来源:安全,类别:帐户登录,ID 675,预身份验证失败。用户名:(计算机名称)$,服务名称:krbtgt/domain.fqdn.example.org,失败代码:0x19
随后出现事件安全/680/帐户登录、MICROSOFT_AUTHENTICATION_PACKAGE_V1_0/错误代码:0xC000006A 帐户注销/未知用户名或密码错误(均重复 4 次)
更新
我想我已经知道了 - VPN 用户名与 Windows 帐户用户名相同,但密码不同(因为 VPN 连接到防火墙,而不是 Windows 服务器),但是在访问网络资源时,Windows 似乎首先尝试 VPN 凭据 - 因为帐户名相同,所以密码失败导致 Windows 帐户被锁定。
我已经将其更改为使用不同的用户名,经过几分钟的测试,这似乎至少可以解决问题。
如果有人知道为什么(Windows 7 PPTP)VPN 会出现这种情况,以及是否有官方方法可以阻止它,我会感兴趣。
答案1
我曾见过这种情况,当某人使用同一个 AD 帐户登录到另一个系统时。我们曾遇到过一个这样的案例,当时我们非常头疼。我们最终查看了域控制器上的安全日志,以找出用户登录的位置。找到位置后,我们将用户注销,一切恢复正常。
我没有听说过 Win 7 / Server 2003 问题。我经常使用 Win 7 机器来管理我的 40 多台 Server 2003 和 2008 机器。但这并不是说这不是原因。
此外,我见过几次 VPN 连接不稳定的情况,如果用户保存了凭据,则每次连接断开时,它都可能会尝试进行身份验证。这可能会导致这种情况。
祝你好运 :)
答案2
Dennis 提出了一个很好的观点。我见过的另一种情况是,你安装了第三方应用程序或其他东西(第三方或非第三方),作为服务,这些服务已获得凭据,并反复使用它们尝试连接某些东西。
答案3
根据我最近的更新 - 我认为我已经知道了 - VPN 用户名与 Windows 帐户用户名相同,但密码不同(因为 VPN 连接到防火墙,而不是 Windows 服务器),但是在访问网络资源时,Windows 似乎首先尝试 VPN 凭据 - 因为帐户名相同,所以密码失败导致 Windows 帐户被锁定。
我已经将其更改为使用不同的用户名,经过几分钟的测试,这似乎至少可以解决问题。
答案4
如果某个站点尝试登录,而服务器无法达成双方都同意的加密设置,或者更糟的是,在退回到另一个设置之前,错误地同意了一个加密设置(从而导致登录失败),则 Windows 有时会记录登录失败。
默认情况下,Windows 7 设置为“仅发送 NTLMv2 响应”。Server 2003 服务器可能设置为“发送 LM 和 NTLM - 如果协商,则使用 NTLMv2 会话安全”。协议协商中的错误可能会导致您遇到的错误登录。您的朋友提到的修补程序可能是这个:
http://support.microsoft.com/kb/893318
作为一种解决方法(这可能是其他 Win7 机器正常运行的原因),您可以更改本地安全策略来解决这个问题:
搜索“本地安全策略”。您也可以在控制面板的管理工具下找到它。打开它。
浏览到本地策略->安全选项。
列表中将出现“网络安全:LAN 管理器身份验证级别”。
它可能被设置为“仅发送 NTLMv2 响应”。将其更改为“发送 LM 和 NTLM - 如果协商,则使用 NTLMv2 会话安全性”。
微软改变默认设置是有充分理由的,因此一旦 VPN 服务器更新,您就需要将其重新设置。