帮我弄清楚为什么 Active Directory 锁定通过 VPN(l2tp)连接到公司网络的帐户。
鉴于:
- 具有最新更新的本地 Windows Server 2022 + Active Directory + 文件存储 (samba)
- Sophos XG 310 防火墙,充当网关和 VPN 服务器
- 装有 Windows 10 Pro 的客户端计算机
使用 AD 帐户登录到计算机的用户连接到 VPN 服务器。AD 域可以 ping 通,但在访问网络资源时,帐户被锁定。
服务器日志包含有关帐户被锁定的信息,但没有说明原因。客户端日志中显示 winlogon.exe 因输入密码错误而被锁定的信息。有时,如果在连接到 VPN 后注销 Windows 并再次登录,则可以正常访问网络驱动器。但这种情况并非总是可行的,当您尝试再次登录时,帐户也会被锁定。
当使用本地网络或路由器先前已建立 VPN 连接(从而创建隧道)的远程网络上的网络资源时,帐户不会被锁定。根据用户组,使用 GPO 自动安装网络文件夹。GPO 中可能锁定用户的规则已被禁用。如果密码输入不正确(值为 0),则不会锁定帐户。服务器审核已启用;定期更改密码的 GPO 规则已禁用;客户端计算机上的密码管理器中的密码已被删除。
ps AD 服务器在 1.5 年前从 Windows 2003 迁移到 Windows 2008,然后又迁移到 Windows 2022。用户使用 pptp 协议连接到 VPN 服务器。然后该协议被 l2tp 取代,以提高安全性和隧道加密。
添加:我在服务器的事件日志中发现了奇怪的错误。在测试帐户被锁定之前,日志中出现了事件 4769,代码为 0x18(预身份验证信息无效),表明使用 Kerberos 协议授权失败,指示在连接到 VPN 之前断开连接的旧网络的 IP 地址。授权类型(登录类型)为 3(网络连接,如打开共享文件夹时)。似乎在从一个可以访问 Internet 的网络切换到另一个网络时,帐户被锁定。没有关于哪个应用程序导致锁定的信息。日志中的所有 PID 和 TID 都指向 lsaas.exe。
随后出现了一系列类似的事件 4625,代码为 0xC0000234(用户当前已被锁定),vpn 服务器发出了新的 IP 地址。这些事件仅在端口上有所不同。就好像进行了搜索并尝试连接,但使用的是 NTLM 协议。
今天我注意到了另一件奇怪的事情:如果你尝试输入错误的密码 6 次,用户的帐户即使在本地网络上也会被锁定。尽管 GPO 规则中的锁定阈值设置为 0(永不锁定)。
我尝试将锁定阈值更改为输入错误密码的 999 次尝试,并将锁定时间更改为 2 分钟。看来这些规则根本不适用,因为……再次,在输入错误密码 6 次后,帐户被锁定,2 分钟甚至 5 分钟后它都没有自行解锁。Gpresult 和本地规则表明配置正在从域中提取。但出于某种原因,它不适用!
如何查找账户被锁定的原因?