通过 VPN 连接到客户站点,锁定我的本地 AD 帐户

通过 VPN 连接到客户站点,锁定我的本地 AD 帐户

我们的域中有帐户锁定策略,其实施纯粹是为了阻止暴力攻击。如果 10 分钟内发生 50 次错误登录尝试,则帐户将被锁定 10 分钟。

就在最近,我注意到我的域名账户被定期锁定,在Microsoft 帐户锁定工具,我设法将其追踪到我从我的台式电脑到客户网络创建 VPN 连接的时候。

我在两个域上使用的帐户名称完全相同。我们的 AD 是 Server 2008 R2,客户的 AD 是 2003 R2。远程端点是由 2003 R2 服务器托管的 PPTP 隧道。

我们的网络是路由的,而客户的网络是扁平的 /24 网络。我已禁用 VPN 连接除 IPv4 之外的所有协议(因为我仅在连接后使用 RDP),并已禁用“在远程网络上使用默认网关”。

除了在某个系统上重命名我的帐户外,还有其他方法可以解决这个问题吗?

请注意,这从来不是一个问题,直到最近我的台式电脑升级到 Windows 7。

答案1

默认情况下,Windows 7 会将其 L2TP VPN 连接配置为在 VPN 连接后使用其凭据进行所有后续身份验证尝试。这在某些情况下很有效,但对于连接到不与您当前计算机的域成员身份共享同一登录名/域的 VPN,这可能会出现问题(导致计算机登录的帐户被锁定)。

要解决这个问题,必须调整保存 VPN 连接信息的 .PBK 文件。

在 Windows 7 中,用户的 .PBK 文件的路径如下(文件名可能不同):

%APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk

注意:该部分已在此电脑上%APPDATA%设置。C:\Users\username\AppData\Roaming

打开rasphone.pbk文件并找到包含以下内容的行:

UseRasCredentials=1

并将其更改为:

UseRasCredentials=0

并保存文件。

这应该可以防止锁定本地域用户帐户的问题。

答案2

起点应该是您的 DCs 事件日志,以验证 Active Directory 所述的登录失败(以及最终锁定)的原因。

到目前为止你还只是在猜测。

答案3

我可以确认@sebix 发布的答案也适用于 Windows 10(目前使用 Windows 10 版本 1803)。

相关内容