Windows Server 2003 DC 中域用户的帐户持续锁定错误。尝试使用帐户锁定和管理工具,并使用 Lockoutstatus.exe,我可以获得客户端系统名称、原因(密码错误)等详细信息,并通过检查 Windows Server 安全日志验证了这些内容。客户端操作系统是 Windows 7 64 位,Alockout.dll 与 Windows 7 不兼容。
我尝试了以下步骤。
清除凭证管理器。
取消映射网络驱动器。
已验证用户仅从其 PC 登录域(单一会话)
我进行了全面的防病毒扫描和 Windows 恶意删除工具的清理。
已安装所有 Windows 更新。
我认为某些服务可能使用他的域用户名来连接网络,但我需要找出哪个服务/程序尝试了错误的密码。有什么方法可以获取相同的日志吗(我也检查了 Windows 7 安全日志,但没有关于错误密码等的信息)任何帮助都将不胜感激。
问候,JK
答案1
一些随机想法:
- 启用客户端登录/注销事件的审核,和/或;
- 使用 Microsoft SysInternals Process Explorer 和 Process Monitor 来监控和调查进程及其使用的凭据。例如,Process Explorer 会显示用于启动进程的凭据,但您也可以深入研究通过模拟使用的凭据(启用下方窗格视图,将下方窗格设置为显示句柄,然后查找 Token 对象)
那就是我要开始的地方...
答案2
我还会运行 netlogon 服务并查看其日志。您也可以查看 netwrix。他们有一个名为 Account Lockout Examiner 的程序,使用此程序,您可以查看他们登录的任何工作站上的帐户。哦,还有一点是:客户端有两个 NIC 吗?我之所以问这个问题,是因为我的一台笔记本电脑也出现了同样的问题。它们同时访问 DNS 进行身份验证,这导致我们这边出现锁定问题。
答案3
我非常肯定我同意 @SimonCaitlin 的方法。Proces explorer 可以让你快速取胜。我只是想补充以下额外的想法。
该问题有两个潜在来源:系统或用户。
系统可能正在尝试在该用户的上下文中运行服务。这应该列在控制台中services.msc。或者您可以尝试禁用服务并查看锁定何时停止发生。
如果锁定发生在特定用户登录时,那么您可以放心地说,这是该用户运行的进程导致的锁定。如果您已清除凭据、断开驱动器等,则可以尝试用新配置文件替换该用户的配置文件。
哦,从计算机和用户的角度来看,计划任务是另一个可能导致身份验证请求失败的潜在原因。它可能是配置为在该用户上下文中运行的任务,也可能是使用存储的凭据通过其他方式运行的脚本,该脚本正在尝试向域控制器进行身份验证。这种情况以前也发生过,锁定时间的规律性就是明证。
答案4
域中是否只有一个 DC?您是否有权访问该 DC?
检查事项:
- 使用 AD 凭据的程序。
- 持久驱动器映射。
- 计划任务。
- 断开的 RDP/TS 会话。
- Outlook 和 Outlook Web Access
- 移动电子邮件应用程序(例如,如果您使用 Lotus Domino w/ Traveler 之类的应用程序来发送电子邮件)
- 无线设置(如果您使用无线用户身份验证)
- 以用户身份运行的服务。
使用 LockoutStatus.exe,您可以查看哪些 DC 正在尝试输入错误的密码。使用 EventCombMT.exe 为您分析它们:
对于 EventCombMT:
双击“EventCombMT.exe”,然后单击“搜索”下拉菜单,再单击“内置搜索”,然后单击“帐户锁定”。这将为您预先填充一些搜索条件。它将获取您的域控制器列表,选中“安全”日志框。选中“成功和失败审核”框,最后它将填充一些“事件 ID”。(注意:将以下事件 ID 添加到搜索行: 4625 4740如果你有 Windows 2008 DC)
您还可以使用SysInternals 进程浏览器和进程监控正如其他人所说,但这只会在问题出在你正在运行它的机器上时才对你有帮助。如果用户凭据在其他地方 - 上述步骤将有所帮助。