一个用户(我们称其为“用户名”)不断被锁定,我不知道为什么。每隔 20 分钟就会准时记录另一个错误密码。
PDC 仿真器 DC 正在运行 Server 2008 R2 Std。记录了锁定事件 ID 4740,但调用方计算机名称为空白:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/29/2015 4:18:14 PM
Event ID: 4740
Task Category: User Account Management
Level: Information
Keywords: Audit Success
User: N/A
Computer: FQDNofMyPDCemulatorDC
Description:
A user account was locked out.
Subject:
Security ID: SYSTEM
Account Name: MyPDCemulatorDC$
Account Domain: MYDOMAIN
Logon ID: 0x3e7
Account That Was Locked Out:
Security ID: MYDOMAIN\username
Account Name: username
Additional Information:
Caller Computer Name:
锁定源 DC 正在运行运行 IAS (RADIUS) 的 Server 2003。其安全日志包含帐户锁定的相应事件,但当然也缺少源(呼叫者计算机名称):
Event Type: Success Audit
Event Source: Security
Event Category: Account Management
Event ID: 644
Date: 5/29/2015
Time: 4:18:14 PM
User: NT AUTHORITY\SYSTEM
Computer: MyRadiusDC
Description:
User Account Locked Out:
Target Account Name: username
Target Account ID: MYDOMAIN\username
Caller Machine Name:
Caller User Name: MyRadiusDC$
Caller Domain: MYDOMAIN
Caller Logon ID: (0x0,0x3E7)
在锁定源 DC 上启用了 NetLogon 调试日志记录,并且日志(C:\WINDOWS\debug\Netlogon.log)显示由于密码错误而导致的登录失败,但没有显示来源(您可以看到“来自”后跟两个空格,空格之间应该是登录尝试的来源):
05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from Entered
05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from Returns 0xC000006A
IAS 日志 (C:\WINDOWS\system32\LogFiles\IN######.log) 没有显示过去 2 天内来自该用户的任何 RADIUS 连接。
我不知道接下来该怎么办,只能骂微软,直到气喘吁吁。有人有什么更有效的办法吗?:-D
答案1
我刚刚与微软就此事进行了通话,因此希望以下信息能够有所帮助:)
身份验证尝试可能发生在几个地方,特别是如果您使用 PEAP 身份验证进行无线连接,身份验证协商也会通过 EAPHost 服务进行。
我发现 EAPHost 服务没有出色的身份验证日志记录(实际上很糟糕 - 跟踪文件),因此如果出于某种原因 EAPHost 中的身份验证失败,则使用事件日志中的通用身份验证事件 ID 记录身份验证失败尝试,而在 IAS 日志中则什么都没有。
我们发现,新建的 RADIUS 服务器在 IAS 日志中记录的信息比我们的生产系统多得多。我重新配置了配置日志,包括会计信息(勾选向导中的所有框!),重新启动服务,发现所有缺失的 IAS 事件现在都被记录到 IAS 日志文件中,包括 MAC 地址和 SSID。
希望这能有所帮助:)