我们的域中有帐户锁定策略,其实施纯粹是为了阻止暴力攻击。如果 10 分钟内发生 50 次错误登录尝试,则帐户将被锁定 10 分钟。
就在最近,我注意到我的域名账户被定期锁定,在Microsoft 帐户锁定工具,我设法将其追踪到我从我的台式电脑到客户网络创建 VPN 连接的时候。
我在两个域上使用的帐户名称完全相同。我们的 AD 是 Server 2008 R2,客户的 AD 是 2003 R2。远程端点是由 2003 R2 服务器托管的 PPTP 隧道。
我们的网络是路由的,而客户的网络是扁平的 /24 网络。我已禁用 VPN 连接除 IPv4 之外的所有协议(因为我仅在连接后使用 RDP),并已禁用“在远程网络上使用默认网关”。
除了在某个系统上重命名我的帐户外,还有其他方法可以解决这个问题吗?
请注意,这从来不是一个问题,直到最近我的台式电脑升级到 Windows 7。
答案1
默认情况下,Windows 7 会将其 L2TP VPN 连接配置为在 VPN 连接后使用其凭据进行所有后续身份验证尝试。这在某些情况下很有效,但对于连接到不与您当前计算机的域成员身份共享同一登录名/域的 VPN,这可能会出现问题(导致计算机登录的帐户被锁定)。
要解决这个问题,必须调整保存 VPN 连接信息的 .PBK 文件。
在 Windows 7 中,用户的 .PBK 文件的路径如下(文件名可能不同):
%APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk
注意:该部分已在此电脑上%APPDATA%设置。C:\Users\username\AppData\Roaming
打开rasphone.pbk文件并找到包含以下内容的行:
UseRasCredentials=1
并将其更改为:
UseRasCredentials=0
并保存文件。
这应该可以防止锁定本地域用户帐户的问题。
答案2
起点应该是您的 DCs 事件日志,以验证 Active Directory 所述的登录失败(以及最终锁定)的原因。
到目前为止你还只是在猜测。
答案3
我可以确认@sebix 发布的答案也适用于 Windows 10(目前使用 Windows 10 版本 1803)。