正如标题所述,这种情况随机发生在我们的 Windows 2008R2 域控制器上的 Windows 7 帐户中。
我们从 123together 托管的 Exchange 更改为 Rackspace 托管的 Exchange 后,就遇到了这种情况。此外,在这个时候,我们在 DC 上的密码开始过期,但具体日期不详,每个人需要更改密码的日期都不一样。
它只影响了 30 个帐户中的 10 个(我知道是哪些),并且我看不出它们之间有任何联系。
我如何才能知道哪些服务正在尝试登录但失败了?
答案1
当我们切换到 Rackspace Hosted Exchange 时,我遇到了同样的问题。我甚至购买了 Netrix Lockout Examiner 来尝试解决该问题,但无济于事。
在试图弄清楚为什么有些用户经常被锁定而有些用户却没有被锁定之后,我终于意识到被锁定的用户是那些使用与电子邮件地址相同的 Windows 登录名的用户。我一直怀疑的情况肯定是这样的。
Outlook 通过[电子邮件保护]在服务器发送到 Rackspace 的过程中,由于技术上[电子邮件保护]与您的 DC 上的相同,并且密码不同,它会将它们锁定。
您有两个选择(但都不是很好):1. 让所有用户的 Exchange 密码与 Windows 密码相同 2. 将他们的 Windows 登录名重命名为与您的电子邮件不同的命名方案(John.Doe Vs. jdoe)
我花了很多时间,联系了 Rackspace 和 Microsoft,但他们都无法提供更好的解决方案。有了这些信息,如果您能够找到更好的解决方案,请分享。
答案2
在着手修复问题之前,您必须真正地识别问题。
首先在您的 DC 上启用帐户登录事件的审核日志记录。然后找出错误密码尝试的来源。帐户锁定和管理工具将有助于识别帐户最后一次错误的密码尝试(使用lockoutstatus.exe)。
AD 帐户不会自行锁定,因此某些东西/某些人正在为这些用户创建错误的身份验证请求。
答案3
答案4
我找到了一些东西,最终阻止了它。
我输入了他们为我们的系统记录的 Rackspace 唯一用户名。您必须联系他们才能获取此列表。我在 Outlook 的 Windows 凭据管理器中输入了这个唯一用户名,而不是我的电子邮件地址,并且没有更改密码。因此,而不是“[电子邮件保护]“对于用户,我现在有“mex05 \ johnny.hendricks_mydoB3039”作为用户名。
这为一些用户解决了问题。对于剩下的用户,我发现了一件我以前没有想到的事情。
在 Active Directory 中,如果您进入用户属性,请查看用户名的 @_______ 我们让每个人都使用 johnny.hendricks 作为用户名,在下拉列表中,我们使用的是 @mydomain.com 我将其切换到 @mydomain.local,这样就修复了每个人的错误密码尝试。这可能是最初的问题,但其他修复也同样有效,所以谁知道呢。