有一段时间,一个用户的 AD 帐户每天都会遇到几次被锁定的问题。
我已经在 Windows GPO 中启用了审计日志以显示登录尝试并将其推送到我们的 3 个域控制器。
他们实际上并没有显示任何东西(失败方面),所以我去了用户工作站并查看了事件查看器,并没有显示他5次登录失败。这让我相信这与电子邮件有关,因为他的域帐户无法在建筑物外访问,并且这个问题始于他两周前更新密码时。
我一直在寻找一种方法来查看 Exchange 2010s 审计日志中失败的登录尝试,但是除了我已经设置的 GPO 之外,我无法找到任何内容。
有人知道吗?我接下来想做的是更改他的登录用户名,这样他在家里或任何地方设置的任何电子邮件帐户都不会再锁定该帐户。
任何建议都棒极了!
多谢你们
答案1
如果用户帐户被锁定,则表明对域控制器的身份验证失败 - 这包括尝试访问通过域控制器进行身份验证的 Exchange 时失败的情况。
听起来您在 DC 上执行的审核日志记录有问题 - 您应该能够生成失败的登录并验证它是否已正确记录在其中一个域控制器上。此外,您应该能够找到对帐户应用锁定的事件,并使用该时间戳查找相关的登录失败事件。