windows - Domain Konto ved at låse med korrekt kodeord hvert par minutter

Indlæg af Hanne Mølgaard Plasc

Problem



Jeg har brugerens konto, der holder op med at låse ud hvert 30. minut. Udført alle kontroller, fjern eventuelle cache-adgangskoder, oprettet ny profil, slet kodeord fra IE.


Det låses ud selv når brugeren bruger sin konto (han er logget ind)


Efter at have kontrolleret 20 servere fandt jeg ud af, at de kører service, hvilket forårsager hans konto for at låse jeg tror.


675,AUDIT FAILURE,Security,Thu Dec 16 07:54:04 2010,NT AUTHORITYSYSTEM,Pre-authentication failed:     User Name:  userid     User ID:  \%{id}     Service Name:  krbtgt/DOMAIN     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  IP address    


Ved der nogen, hvad der er her.


krbtgt/DOMAIN     
Key Distribution Center Service Account


Kan nogle venligst forklare dette for mig, hvorfor det sker, og hvordan jeg kan løse dette.


675,AUDIT FAILURE,Security,Fri Dec 24 09:13:01 2010,NT AUTHORITYSYSTEM,Pre-authentication failed:     User Name:  user\_id    User ID:  \%{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  172.16.5.1    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITYSYSTEM,Pre-authentication failed:     User Name:  user\_id    User ID:  \%{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  172.16.5.102    
644,AUDIT SUCCESS,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITYSYSTEM,User Account Locked Out:     Target Account Name: user\_id    Target Account ID: \%{id}     Caller Machine Name: UKNML3266     Caller User Name: LONDON$     Caller Domain: Domain     Caller Logon ID: (0x0,0x3E7)    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITYSYSTEM,Pre-authentication failed:     User Name:  user\_id    User ID:  \%{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.102    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITYSYSTEM,Pre-authentication failed:     User Name:  user\_id    User ID:  \%{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.102    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITYSYSTEM,Pre-authentication failed:     User Name:  user\_id    User ID:  \%{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITYSYSTEM,Pre-authentication failed:     User Name:  user\_id    User ID:  \%{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITYSYSTEM,Pre-authentication failed:     User Name:  user\_id    User ID:  \%{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
c:sc0472LONDON-Security\_LOG.txt contains 8 parsed events.

Bedste reference


Prøv denne løsning fra http://social.technet.microsoft.com/Forums/da/w7itprosecurity/thread/e1ef04fa-6aea-47fe-9392-45929239bd68[9]



  Microsoft Support fandt problemet for os. Vores domæne konti var
  låsning, når en Windows 7-computer blev startet. Windows 7-computeren
  havde en skjult gammel adgangskode fra den pågældende domæne konto. Der er
  adgangskoder, der kan gemmes i SYSTEM-konteksten, der ikke kan ses
  i den normale Credential Manager-visning.

  
  Download PsExec.exe fra http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx og kopi
  det til C:WindowsSystem32. [10]

  
  Fra en kommandoprompt kør: psexec -i -s -d cmd.exe

  
  Fra det nye DOS-vindues løb: rundll32 keymgr.dll,KRShowKeyMgr

  
  Fjern eventuelle emner, der vises på listen over gemte brugernavne og adgangskoder. Genstart computeren.


Andre referencer 1


Jeg mener, at dette fremhæver en alvorlig mangel i Windows. Vi har en (techincal) brugerkonto, som vi bruger til vores system bestående af en windows service og hjemmesider, med app pools konfigureret til at køre som denne bruger.


Vores firma har en sikkerhedspolitik, der efter 5 dårlige adgangskoder låser kontoen ud.


Nu finder du ud af, hvad der lukker kontoen, praktisk talt umuligt i en virksomhed. Når kontoen er låst, skal AD-serveren logge fra hvilken proces og hvilken server der forårsagede låsen.


Jeg har kigget på det og det (låse værktøjer), og det gør det ikke. Kun mulig ting er et værktøj, men du skal køre det på serveren og vente på at se om nogen proces gør det. Men i en virksomhed med 1000s servere, der er umuligt, du skal gætte. Det er vanvittigt.

Andre referencer 2


Vi har netop haft et lignende problem, ser ud til, at brugeren nulstillede sit kodeord fredag ​​og i weekenden og i mandags blev han ved at blive låst.


Han blev glemt at opdatere sit kodeord på sin mobiltelefon.

Andre referencer 3


Du skal sørge for, at klokkerne på alle dine servere er korrekte. Kerberos-fejl skyldes normalt, at dit serverur er ude af synkronisering med dit domæne.


UPDATE


Fejlkode 0x12 betyder meget specifikt 'Klientoplysningerne er blevet tilbagekaldt', hvilket betyder at denne fejl er sket, når kontoen er blevet deaktiveret, udløbet eller låst.


Det ville være nyttigt at forsøge at finde de tidligere fejlmeddelelser, hvis du mener at kontoen var aktiv - det vil sige, at denne fejlmeddelelse muligvis ikke er årsagen til, at du har forskellige fejl forud for denne fejl, som får kontoen til at blive låst.


Ideelt set for at få et komplet svar, skal du genaktivere kontoen og holde øje med logfilerne for en fejl, der opstår før 0x12 fejlmeddelelserne.

Andre referencer 4


Jeg har set dette problem, da brugeren havde oprettet en planlagt opgave at køre under hans konto. Han har glemt at opdatere adgangskoden på opgaven, efter at han har ændret sin konto adgangskode. Den planlagte opgave forsøger at logge ind med den gamle adgangskode og holdt op med at låse sin konto.

Andre referencer 5


Må være viruset ved navn CONFLICKER prøv d.exe værktøj fra symantec på maskinen håber dit problem vil blive løst.
Kontroller sikkerhedslogfilerne i domænecontrolleren og scan disse maskiner på grund af denne virus, der opretter dårlige adgangskoder og låser brugerne.

Andre referencer 6


Download Microsoft Kontobeskyttelse værktøjer.
Brug LockoutStatus for at finde den sidste DC, der ikke forudautentificerede den bruger, der har problemer. Bemærk dato og klokkeslæt.
Log ind på DC, find den tidsramme og tjek Client Address.
Logoff fra disse servere. [11]

Andre referencer 7


Hvis din computer er på et domæne, kan du se Windows Password Rescuer Advanced, http://www.daossoft.com/documents/how-to-reset-windows-domian-account-password.html[12]

Andre referencer 8


Endelig fandt jeg mit problem. SQL Reporting Service forårsagede min konto låsning. Stop og prøv efter bekræftelse ikke flere adgangskoder dårlige forsøg, jeg skal omkonfigurere servicetjenesten for rapporteringstjenester --- Ikke hos Service Properties, det er i Reporting Service own config--.