我有一个 AD 用户帐户被反复频繁锁定,我能够将锁定追溯到 Exchange 服务器 CAS 阵列。但是我不知道如何继续调查。Exchange (2013) 服务器上的事件日志表明锁定源自 msExchangeFrontEndTransport.exe,但没有表明原始身份验证请求来自哪个来源。我真的很想知道以下任何信息(越多越好):身份验证 IP/计算机名称的来源、身份验证方法的来源(即 webmail、activesync、Outlook 客户端等)。
从我所能挖掘的事件日志来看,没有任何信息可以帮助追踪错误身份验证请求的起源点。我 90% 确定我已经排除了用户的任何便携式设备,因为有一次我们关闭了所有用户的设备,但锁定仍然发生,这种情况已经持续了数周,每天有超过 600 次身份验证尝试。我已重命名用户帐户作为一种解决方法,但出于安全考虑,我真的想确定这是从哪里来的。这是唯一一个以这种方式遭受困扰的帐户。任何想法都将不胜感激!
答案1
查看 CAS 服务器上的 IIS 日志,它会为您指明正确的方向。一个常见的问题是拥有多台设备的用户尝试使用过期的密码进行连接并锁定帐户。然而,这可能是滥用行为。
2012-01-10 14:42:26 172.32.22.12 POST /Microsoft-Server-ActiveSync/default.eas User=ratishnair&DeviceId=Appl8xxxxx4S&DeviceType=iPhone&Cmd=FolderSync&Log=PrxFrom:10.123.33.88_Error:BackingOffMailboxServer_ 443 CONTOSO\CAS01$ 10.123.33.88Apple-iPhone3C1/901.405 503 0 0 765
日志条目引自http://msexchangeguru.com/2012/02/01/exchange-activesync/
这显示客户端 IP、用户名和设备。