我去年建立了一个 Windows 2008 R2 服务器,从那时起,我的高级帐户每天被锁定 10-12 次。经过大量研究和测试,我发现每次尝试更新组策略失败时(大约每 90 分钟一次),服务器都会锁定我的帐户。我在网上找不到任何信息表明其他人见过这种情况,我自己也觉得难以置信。
每次在服务器上记录3个系统事件:
事件 ID 14:凭据管理器中存储的密码无效。这可能是由于用户从此计算机或其他计算机更改密码而导致的。要解决此错误,请在控制面板中打开凭据管理器,然后重新输入凭据 contoso\me 的密码。
凭据管理器中没有条目。无论我是否禁用凭据管理器服务,无论我是否登录,无论我是否注销并使用本地管理员帐户删除我的个人资料,都会发生这种情况。
事件 ID 40960:安全系统检测到服务器 cifs/ContosoDC.contoso.com 的身份验证错误。身份验证协议 Kerberos 的失败代码为“由于请求的无效登录尝试次数或密码更改尝试次数过多,用户帐户已被自动锁定。(0xc0000234)”。
-
事件 ID 1058:
组策略处理失败。Windows 尝试从域控制器读取文件 \contoso.com\SysVol\contoso.com\Policies{78719F0C-3091-4B5C-9BC3-6498F729531E}\gpt.ini,但未成功。在解决此事件之前,可能无法应用组策略设置。此问题可能是暂时的,可能由以下一个或多个原因导致:a) 当前域控制器的名称解析/网络连接。b) 文件复制服务延迟(在另一个域控制器上创建的文件未复制到当前域控制器)。c) 分布式文件系统 (DFS) 客户端已被禁用。
我检查了这些物品,似乎都不是这种情况。
我对此进行了彻底的测试,方法是检查用户帐户是否未被锁定,在服务器上运行 gpupdate,然后重新检查用户帐户,该帐户立即被锁定。我使用锁定工具发现所有锁定都源自此特定服务器。用户帐户没有关联的电子邮件地址,并且我已经广泛研究了一系列已知的锁定问题。
有什么线索给我吗?我正准备关闭这台生产服务器并在 AD 中重置其计算机对象,但我不知道这是否有用。
答案1
显然,凭证管理器中可能存在未显示的密码。或者,引用此链接:
有一些密码可以存储在 SYSTEM 上下文中,而这些密码在普通凭据管理器视图中是看不到的。
从以下位置下载 PsExec.exe http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx并将其复制到 C:\Windows\System32 。
从命令提示符运行:
psexec -i -s -d cmd.exe从新的 DOS 窗口运行:
rundll32 keymgr.dll,KRShowKeyMgr删除“存储的用户名和密码”列表中显示的所有项目。重新启动计算机。
希望这可以解决您的问题。
答案2
如果凭证管理器没有帮助,我会尝试将系统置于没有任何 GPO 的 OU 中进行测试。
如果问题仍然存在,则它与默认域 GPO、适用于整个域的 GPO 或与 GPO 无关有关。无论哪种方式,这都有助于限制搜索范围。
从 cmd 提示符使用 gpupdate 测试更改,而无需等待并使用 gpresult /R 查看应用于系统的 GPO。
如果您认为仍然涉及 GPO,请使用 WMI 过滤器来阻止 GPO 应用。
还要注意,可能在站点级别应用了 GPO,但您会在 gpresult 输出中看到这些 GPO。
如果您能够通过减少 GPO 来限制锁定,那么请将它们逐个添加到 OU 中,以找出造成锁定的部分原因。然后研究该 GPO 以找到解决方案。
另外,以下是我在账户被锁定时检查的内容列表,我已经知道它来自哪个系统。服务计划任务映射驱动器 Web 应用程序 VM 控制台 KVM 控制台 RDP 会话脚本 PW 帮助应用程序 VPN 连接连接到电子邮件的其他设备远程桌面工具运行凭据管理器的应用程序