O gpupdate do Windows 2008 R2 bloqueia minha conta de usuário

Navegue suas respostas
9

Eu criei um servidor Windows 2008 R2 no ano passado e desde que minha conta elevada é bloqueada 10 a 12 vezes por dia. Depois de muita pesquisa e teste, descobri que o servidor está bloqueando minha conta a cada tentativa fracassada de atualizar a Diretiva de Grupo (a cada 90 minutos). Não encontrei nenhuma informação na web indicando que alguém tenha visto isso, e eu acho isso inacreditável.

Cada vez que 3 eventos do sistema são registrados no servidor:

Event ID 14: The password stored in Credential Manager is invalid. This might be caused by the user changing the password from this computer or a different computer. To resolve this error, open Credential Manager in Control Panel, and reenter the password for the credential contoso\me.

Não há entradas no Gerenciador de Credenciais. Isso acontece independentemente de eu desabilitar ou não o serviço do Gerenciador de Credenciais, independentemente de eu estar conectado ou não, sair ou não e usar uma conta de administrador local para excluir meu perfil.

Event ID 40960: The Security System detected an authentication error for the server cifs/ContosoDC.contoso.com. The failure code from authentication protocol Kerberos was "The user account has been automatically locked because too many invalid logon attempts or password change attempts have been requested. (0xc0000234)".

-

Event ID 1058:

The processing of Group Policy failed. Windows attempted to read the file \contoso.com\SysVol\contoso.com\Policies{78719F0C-3091-4B5C-9BC3-6498F729531E}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following: a) Name Resolution/Network Connectivity to the current domain controller. b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller). c) The Distributed File System (DFS) client has been disabled.

Eu verifiquei os itens a-c, nenhum parece ser o caso.

Eu testei isso completamente, verificando se a conta do usuário não está bloqueada, executando gpupdate no servidor e verificando novamente a conta do usuário, que é bloqueada imediatamente. Eu usei ferramentas de bloqueio para revelar que todos os bloqueios são originários desse servidor específico. A conta de usuário não tem um endereço de e-mail associado e eu pesquisei extensivamente sobre a série usual de problemas de bloqueio conhecidos.

Alguma pista para mim? Estou me preparando para derrubar esse servidor de produção e redefinir seu objeto de computador no AD, mas não sei se isso ajudará.

    
por Windows Server Ops 05.03.2014 / 19:48

2 respostas

6

Aparentemente, pode haver senhas no gerenciador de credenciais que não aparecem. Ou, para citar este link :

There are passwords that can be stored in the SYSTEM context that can't be seen in the normal Credential Manager view.

Download PsExec.exe from http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx and copy it to C:\Windows\System32 .

From a command prompt run: psexec -i -s -d cmd.exe

From the new DOS window run: rundll32 keymgr.dll,KRShowKeyMgr

Remove any items that appear in the list of Stored User Names and Passwords. Restart the computer.

Espero que isso resolva seu problema.

    
por 05.03.2014 / 22:51
1

Se o gerenciador de credenciais não ajudar, tentarei colocar o sistema em uma UO sem nenhum GPO para testar.

Se o problema ainda ocorrer, ele estará relacionado ao GPO de domínio padrão, um GPO que se aplica a todo o domínio ou não está relacionado a GPOs. De qualquer forma, isso pode ajudar a limitar o escopo de pesquisa.

Em um prompt de cmd, use gpupdate para testar as alterações sem precisar esperar e gpresult / R para ver quais GPOs foram aplicados ao sistema.

Se você acha que um GPO ainda está envolvido, use o filtro WMI para evitar a aplicação de GPOs.

Observe também que pode haver GPOs aplicados no nível do site, mas você verá aqueles na saída gpresult.

Se você puder limitar os bloqueios com a redução dos GPOs, adicione-os à OU no momento para encontrar o que faz parte da causa. Em seguida, pesquise esse GPO para encontrar a resolução.

Também aqui está uma lista de coisas que eu verifico quando a conta está sendo bloqueada e já conheço o sistema do qual ela está vindo. Serviços Tarefas agendadas Unidades mapeadas Aplicativos da web Console da VM Console KVM Sessões RDP Scripts Aplicativos auxiliares PW Conexão VPN Outros dispositivos que se conectam ao email Ferramentas de área de trabalho remota Aplicativos que são executados Gerenciador de Credenciais

    
por 05.03.2014 / 23:42

Tags

Existe algum motivo de segurança para não usar um certificado curinga além da capacidade de gerenciamento e exploração se usado em vários servidores? HP para a abertura da raiz da árvore de abrangência da Cisco