在一个小型机器网络(<1000 台)中,我们有一位用户,在更改密码后的一段不确定的时间间隔后,其帐户被锁定。
我们在查找无效登录尝试的根源时遇到了严重困难,如果你们能告诉我们你们的思考过程以及为解决问题将执行的检查,我将不胜感激。
我唯一可以确定的是,该帐户每天被锁定几次(5 次以上),我甚至不能确定这是由于登录尝试失败造成的,因为在帐户被锁定之前没有失败记录。
到目前为止我已经尝试过;
- 注销我们能想到的所有账户,然后使用新密码重新登录
- 扫描用户的盒子,查找任何可能执行 LDAP 查找的非标准软件
- 检查生产环境中已安装的所有服务,确保没有服务试图在该帐户下运行
- 将用户密码改回旧密码(问题仍然存在,所以也许更改密码只是一种障眼法)
- Wireshark在执行大量 LDAP 身份验证的框中 - 仅在帐户已被锁定后才会发生拒绝
- 清除凭据缓存 - 控制面板 -> 用户帐户 -> 高级
- 看看当地
我不知道该尝试什么。我很乐意尝试您提出的任何建议来诊断问题。我想我的问题可以归结为一个简单的请求;
我需要一种技术来导出导致帐户被锁定的无效登录尝试的来源(应用程序/主机)。
我不确定这是否有可能,但我认为我还有更多的可以尝试的方法。
非常感谢,
城市景观
编辑-已解决
结论- 在客户端盒上使用旧凭证配置的 RSS 提要阅读器导致持续构建软件(阅读器尝试登录的软件)锁定该帐户,因为它每 5 分钟就会尝试登录失败一次。
战略
我查看了我们拥有的关键基础设施的日志,并搜索了相关用户名。很明显,持续构建软件有很多失败的尝试。然后,我们在两个盒子之间执行了 wireshark 捕获,试图找出请求来自哪里。我们终止了进程,直到找到正确的进程。
谢谢大家的帮助,现在一切都听起来很简单,已经解决了!
答案1
不幸的是,在很多情况下,安全事件日志的事件 ID 680 看起来像这样,并且工作站名称为空白。
680,AUDIT FAILURE,Security,Fri Feb 25 14:29:37 2011,NT AUTHORITY\SYSTEM,Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: jdoe Source Workstation: Error Code: 0xC0000064
公开更多信息的一种方法是启用 netlogon 详细日志记录。在记录事件的域控制器上,创建以下注册表值:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DBFlag"=dword:24401F04
重新启动 netlogon 服务以使此操作生效。详细信息将记录在:%systemroot%\debug\netlogon.log 和 netlogon.bak 中。日志文件滚动更新并重命名为 .bak,大小约为 19 MB。在其中一个事件发生后,从发生事件的 dc 复制这两个文件,然后在文本编辑器中打开它们并搜索用户名。
如果你很幸运的话,它将会是这样的:
02/12 10:54:39 [LOGON] ACMI: SamLogon: Transitive Network logon of (null)\jdoe from (via EXCHANGE2) Entered
02/12 10:54:39 [LOGON] ACMI: NlPickDomainWithAccount: jdoe: Algorithm entered. UPN:0 Sam:1 Exp:0 Cross: 0 Root:0 DC:0
02/12 10:54:39 [LOGON] ACMI: NlPickDomainWithAccount: Username jdoe is hq.acme.com\jdoe (found On GC)
请注意,如果您有多个域控制器,当您在其中一个域控制器上重新启动 netlogon 服务时,尝试登录的计算机可能会切换到另一个域控制器,因此请准备好在多个域控制器上启用此功能。如果您有一个包含子域的多域环境,则可能必须从子域到根域和另一个子域进行跟踪,然后才能找到有问题的计算机。有问题的计算机可以是任何东西,不一定是 Windows 工作站。它可能是多功能网络打印机/复印机,也可能是尝试与您的 Exchange 服务器建立经过身份验证的 SMTP 连接的电子邮件客户端。
答案2
FWIW(可能不多 - 只是给你提供一些东西),当我们在 AD 域中遇到类似问题时,我们最终使用了这个工具集就是要追查到肇事者。
在一个案例中,他们发现这个工作站是另一栋大楼里的培训室工作站,几周前他们曾登录过这个工作站,但一直没有退出,之后就再也没有使用过。
答案3
听起来你已经尝试了几乎所有方法。我原本以为安全日志会指出尝试连接的工作站。
一些虚拟机用户在物理服务器上映射了驱动器,然后虚拟机会使用旧凭据并最终锁定帐户。由于虚拟机已关闭两次密码更改,用户没有想到要检查。但是,安全日志给了我们计算机名称。
有兴趣在这里听到解决方案