更改密码后 LDAP 帐户偶尔被锁定 - 查找无效尝试的来源

Question 1

不幸的是，在很多情况下，安全事件日志的事件 ID 680 看起来像这样，并且工作站名称为空白。

680,AUDIT FAILURE,Security,Fri Feb 25 14:29:37 2011,NT AUTHORITY\SYSTEM,Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0    Logon account:  jdoe    Source Workstation:     Error Code: 0xC0000064

公开更多信息的一种方法是启用 netlogon 详细日志记录。在记录事件的域控制器上，创建以下注册表值：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DBFlag"=dword:24401F04

重新启动 netlogon 服务以使此操作生效。详细信息将记录在：%systemroot%\debug\netlogon.log 和 netlogon.bak 中。日志文件滚动更新并重命名为 .bak，大小约为 19 MB。在其中一个事件发生后，从发生事件的 dc 复制这两个文件，然后在文本编辑器中打开它们并搜索用户名。

如果你很幸运的话，它将会是这样的：

02/12 10:54:39 [LOGON] ACMI: SamLogon: Transitive Network logon of (null)\jdoe from  (via EXCHANGE2) Entered
02/12 10:54:39 [LOGON] ACMI: NlPickDomainWithAccount: jdoe: Algorithm entered. UPN:0 Sam:1 Exp:0 Cross: 0 Root:0 DC:0
02/12 10:54:39 [LOGON] ACMI: NlPickDomainWithAccount: Username jdoe is hq.acme.com\jdoe (found On GC)

请注意，如果您有多个域控制器，当您在其中一个域控制器上重新启动 netlogon 服务时，尝试登录的计算机可能会切换到另一个域控制器，因此请准备好在多个域控制器上启用此功能。如果您有一个包含子域的多域环境，则可能必须从子域到根域和另一个子域进行跟踪，然后才能找到有问题的计算机。有问题的计算机可以是任何东西，不一定是 Windows 工作站。它可能是多功能网络打印机/复印机，也可能是尝试与您的 Exchange 服务器建立经过身份验证的 SMTP 连接的电子邮件客户端。

Answer

不幸的是，在很多情况下，安全事件日志的事件 ID 680 看起来像这样，并且工作站名称为空白。

680,AUDIT FAILURE,Security,Fri Feb 25 14:29:37 2011,NT AUTHORITY\SYSTEM,Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0    Logon account:  jdoe    Source Workstation:     Error Code: 0xC0000064

公开更多信息的一种方法是启用 netlogon 详细日志记录。在记录事件的域控制器上，创建以下注册表值：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DBFlag"=dword:24401F04

重新启动 netlogon 服务以使此操作生效。详细信息将记录在：%systemroot%\debug\netlogon.log 和 netlogon.bak 中。日志文件滚动更新并重命名为 .bak，大小约为 19 MB。在其中一个事件发生后，从发生事件的 dc 复制这两个文件，然后在文本编辑器中打开它们并搜索用户名。

如果你很幸运的话，它将会是这样的：

02/12 10:54:39 [LOGON] ACMI: SamLogon: Transitive Network logon of (null)\jdoe from  (via EXCHANGE2) Entered
02/12 10:54:39 [LOGON] ACMI: NlPickDomainWithAccount: jdoe: Algorithm entered. UPN:0 Sam:1 Exp:0 Cross: 0 Root:0 DC:0
02/12 10:54:39 [LOGON] ACMI: NlPickDomainWithAccount: Username jdoe is hq.acme.com\jdoe (found On GC)

请注意，如果您有多个域控制器，当您在其中一个域控制器上重新启动 netlogon 服务时，尝试登录的计算机可能会切换到另一个域控制器，因此请准备好在多个域控制器上启用此功能。如果您有一个包含子域的多域环境，则可能必须从子域到根域和另一个子域进行跟踪，然后才能找到有问题的计算机。有问题的计算机可以是任何东西，不一定是 Windows 工作站。它可能是多功能网络打印机/复印机，也可能是尝试与您的 Exchange 服务器建立经过身份验证的 SMTP 连接的电子邮件客户端。

Question 2

FWIW（可能不多 - 只是给你提供一些东西），当我们在 AD 域中遇到类似问题时，我们最终使用了这个工具集就是要追查到肇事者。

在一个案例中，他们发现这个工作站是另一栋大楼里的培训室工作站，几周前他们曾登录过这个工作站，但一直没有退出，之后就再也没有使用过。

Answer

FWIW（可能不多 - 只是给你提供一些东西），当我们在 AD 域中遇到类似问题时，我们最终使用了这个工具集就是要追查到肇事者。

在一个案例中，他们发现这个工作站是另一栋大楼里的培训室工作站，几周前他们曾登录过这个工作站，但一直没有退出，之后就再也没有使用过。

Question 3

听起来你已经尝试了几乎所有方法。我原本以为安全日志会指出尝试连接的工作站。

一些虚拟机用户在物理服务器上映射了驱动器，然后虚拟机会使用旧凭据并最终锁定帐户。由于虚拟机已关闭两次密码更改，用户没有想到要检查。但是，安全日志给了我们计算机名称。

有兴趣在这里听到解决方案

Answer

听起来你已经尝试了几乎所有方法。我原本以为安全日志会指出尝试连接的工作站。

一些虚拟机用户在物理服务器上映射了驱动器，然后虚拟机会使用旧凭据并最终锁定帐户。由于虚拟机已关闭两次密码更改，用户没有想到要检查。但是，安全日志给了我们计算机名称。

有兴趣在这里听到解决方案

更改密码后 LDAP 帐户偶尔被锁定 - 查找无效尝试的来源

答案1

答案2

答案3

相关内容