我们数据中心的管理员帐户被永久锁定,我必须使用我们的通用数据中心管理员一次又一次地解锁。我希望它停止,但我不知道是谁锁定了我的帐户,也不知道在哪台机器上发生这种情况。
我们的数据中心有几台 Server 2003、2008 和 2008 R2 服务器。我们的 3 个域控制器运行 2 个 Server 2008 和 1 个 Server 2008 R2。
我如何才能追踪到哪个客户端、哪个服务器上的用户被永久锁定了?
更新:和锁定状态我发现上次锁定时间是 13:19。此时,我的 DC 上记录了 EventID 4771。它告诉我我们的一个终端服务器的客户端地址,服务名称为“krbtgt/domain”,故障代码为 0x18,预身份验证类型为 2。
我查找了该终端服务器上的错误,但没有发现与 Kerberos 相关的错误。我在该终端服务器的系统日志中发现了与 GPO 相关的错误:事件 ID 1006错误代码为 49。事实上,我这次登录了此终端服务器。但明天不会了。这不是“根错误”。有什么想法可以找到问题吗?
更新/解决:在一些服务器上,我的用户使用旧凭据登录(但已断开连接)了 4 个会话。我使用 LockOutStatus.exe 查找我的用户上次被锁定的时间。然后我查看了安全日志,发现一个 ID 为 4771 的事件,其中包含导致我的用户被锁定的客户端 IP。我注销了会话,解锁了我的用户帐户,并等待下一个会话/服务器锁定我的用户。我重复此操作,直到我的用户不再被锁定。
感谢您的精彩回答和提示:)
答案1
您是否有可能在该服务器上与您的用户帐户断开了会话?如果您最近更改了密码,那么服务器/工作站上任何断开但活动的会话都可能导致类似情况。
如果不:
我会尝试启用进程跟踪和登录跟踪。这样您就可以看到登录失败和最终发生锁定时启动了哪个进程。
在 Win2k8 上,进程启动时事件 ID 为 4688,进程退出时事件 ID 为 4689。不过解读这些事件 ID 可能有点棘手。
您可以尝试安装评估版本事件哨兵(我隶属于)它规范化登录和进程数据并将其存储在数据库中以便于搜索。例如,您可以查看当时正在运行哪些进程,搜索跨多个服务器的登录事件等等。但是,仅为此目的设置 EventSentry 可能有点过头了。
您是否检查过您的计划任务以确保您的用户帐户下没有配置任何任务?
答案2
假设您在 AD 域中工作,您可以在默认域 GPO 中启用帐户登录审核。这将在所有计算机上启用审核,并允许您跟踪正在发生的事情。找到相关的日志条目后,您可以查看登录类型以尝试确定正在发生的事情。
答案3
我之前写了一篇关于这个的博客文章,可能会给你一些建议 -http://www.beakersoft.co.uk/2008/02/07/where-has-that-account-been-locked-out/