Erro contínuo de bloqueio de conta para um usuário de domínio no Windows server 2003 DC

2

Erro contínuo de bloqueio de conta para um usuário de domínio no Windows server 2003 DC. Tentei o bloqueio de conta e ferramenta de gerenciamento e usando o Lockoutstatus.exe eu poderia obter os detalhes do nome do sistema do cliente, motivo (senha Bad) etc e verificou o mesmo, verificando os logs de segurança do servidor Windows. O sistema operacional do cliente é o Windows 7 de 64 bits e o Alockout.dll não é compatível com o Windows 7.

Eu tentei as etapas a seguir.

  1. Limpou o gerenciador de credenciais.
  2. Não mapeou a unidade de rede.
  3. Verificado que o usuário faz login apenas no domínio de seu PC (sessão única)
  4. Eu fiz uma varredura antivírus completa e uma ferramenta de remoção maliciosa do Windows.
  5. Instalou todas as atualizações do Windows.

    Acho que alguns serviços podem usar seu nome de usuário de domínio para se conectar à rede, mas preciso descobrir qual serviço / programa está tentando a senha errada. Existe alguma maneira que eu poderia obter os logs para o mesmo (eu também verifiquei os logs de segurança do Windows 7, mas nenhuma informação sobre a senha incorreta, etc) Qualquer ajuda seria apreciada.

Atenciosamente, JK

    
por techiyan 20.07.2013 / 22:03

4 respostas

1

Alguns pensamentos aleatórios:

  1. Habilite a auditoria de eventos de logon / logoff no cliente e / ou;
  2. Use o Microsoft SysInternals Process Explorer e o Process Monitor para monitorar e investigar processos e quais credenciais eles estão usando. O Process Explorer, por exemplo, mostra as credenciais usadas para iniciar um processo, mas você também pode pesquisar e investigar credenciais sendo usadas por meio de representação (ative a exibição de painel inferior, defina o painel inferior para mostrar alças e procure objetos Token )

É onde eu começaria ...

    
por 20.07.2013 / 22:39
1

Eu também executaria o serviço netlogon e revisaria seus logs. Além disso, você pode conferir a netwrix. Eles têm uma chamada de programa Account Lockout Examiner, com este programa você pode ver a conta em que já estação de trabalho que eles fizeram logon. Ah e outro ponto é: o cliente tem duas placas de rede? A razão pela qual eu pergunto é que estava tendo um problema com um laptop fazendo a mesma coisa. Ambos estavam acessando o DNS para autenticação ao mesmo tempo, o que causou nossos problemas de bloqueio em nosso final.

Examinador de bloqueio de conta

Iniciando o nelogon

    
por 03.06.2014 / 15:19
0

Tenho certeza de que concordo com o @SimonCaitlin em sua abordagem. Proces Explorer poderia ser uma vitória rápida para você. Eu apenas pensei em adicionar as seguintes ideias adicionais.

Você tem duas fontes potenciais deste problema, o sistema ou o usuário.

O sistema pode estar tentando executar um serviço no contexto desse usuário. Isso deve estar listado no console services.msc . Ou você pode tentar desativar os serviços e ver quando o bloqueio pára de acontecer.

Se o bloqueio estiver ocorrendo quando um determinado usuário estiver conectado, você poderá dizer com segurança que é um processo executado pelo usuário que está causando o bloqueio. Se você tiver credenciais limpas, unidades desconectadas, etc., poderá tentar substituir o perfil do usuário por um novo.

Ah, e Tarefas agendadas é outra possível fonte de solicitações de autenticação com falha, tanto do ponto de vista do computador quanto do usuário. Pode ser uma tarefa configurada para ser executada no contexto desse usuário ou um script executado que usa credenciais armazenadas por algum outro meio, que está tentando autenticar com o controlador de domínio. Isso já aconteceu antes e a regularidade do tempo de bloqueio foi a doação.

    
por 20.07.2013 / 23:19
0

Existe apenas um controlador de domínio no domínio? Você tem acesso ao CD?

Coisas a verificar:

  1. Programas que usam credenciais do AD.
  2. Mapeamentos persistentes de unidades.
  3. Tarefas agendadas.
  4. Sessões RDP / TS desconectadas.
  5. Outlook e Outlook Web Access
  6. Aplicativos de e-mail para dispositivos móveis (se você estiver usando algo como o Lotus Domino com o Traveler para e-mail, por exemplo)
  7. Configurações sem fio (se você estiver usando autenticação de usuário para wireless)
  8. Serviços em execução como usuário.

Usando o LockoutStatus.exe, você pode ver quais CDs estão recebendo as tentativas de senha incorreta. Use EventCombMT.exe para analisá-los para você:

Para EventCombMT :

Clique duas vezes em "EventCombMT.exe" e clique no menu suspenso "Pesquisas" e depois em "Construído em pesquisas" e depois em "Bloqueios de conta". O que isso vai fazer é pré-preencher alguns dos critérios de pesquisa para você. Vai obter uma lista de seus controladores de domínio, marque a caixa de log "Segurança". Marque as caixas de "Auditoria de sucesso e de falhas" e, por último, ele preencherá algumas das "IDs de evento". (Observação: adicione as seguintes identificações de evento à linha de pesquisa: 4625 4740 se você tiver DCs do Windows 2008)

Você também pode usar o SysInternals Process Explorer e o Process Monitor como os outros disseram, mas isso só ajudará se o problema estiver na máquina que você está executando contra. Se as credenciais dos usuários estiverem em outro lugar, as etapas acima ajudarão.

    
por 21.07.2013 / 00:00