Постоянная ошибка блокировки учетной записи для пользователя домена в Windows server 2003 DC. Попробовал инструмент блокировки и управления учетной записью и с помощью Lockoutstatus.exe я смог получить подробную информацию об имени клиентской системы, причине (неверный пароль) и т. Д. И подтвердил то же самое, проверив журналы безопасности сервера Windows. Клиентская ОС - это 64-разрядная версия Windows 7, а Alockout.dll несовместим с Windows 7.
Я пробовал следующие шаги.
Очистил диспетчер учетных данных.
Отключил сетевой диск.
Проверено, что пользователь входит в домен только со своего ПК (один сеанс)
Я провел полную антивирусную проверку и средство удаления вредоносных программ Windows.
Установлены все обновления Windows.
Я думаю, что некоторые службы могут использовать его имя пользователя домена для подключения к сети, но мне нужно выяснить, какая служба / программа пытается ввести неправильный пароль. Есть ли способ получить журналы для того же самого (я также проверил журналы безопасности Windows 7, но не получил информации о неверном пароле и т. Д.). Любая помощь будет принята с благодарностью.
С уважением, JK
Несколько случайных мыслей:
Вот с чего бы я начал ...
Я бы также запустил службу netlogon и просмотрел ее журналы. Также вы можете проверить netwrix. У них есть программа вызова Account Lockout Examiner, с помощью которой вы можете просматривать учетную запись на любой рабочей станции, на которую они вошли. Да, и еще один момент: есть ли у клиента два сетевых адаптера? Причина, по которой я спрашиваю, заключается в том, что у меня возникла проблема с ноутбуком, делающим то же самое. Они оба одновременно обращались к DNS для аутентификации, что вызвало с нашей стороны проблемы с блокировкой.
Я почти уверен, что согласен с @SimonCaitlin в вашем подходе. Proces explorer может стать для вас быстрой победой. Я просто подумал, что добавлю следующие дополнительные идеи.
У вас есть два потенциальных источника этой проблемы: система или пользователь.
Возможно, система пытается запустить службу в контексте этого пользователя. Это должно быть указано в services.msc приставка. Или вы можете попробовать отключить службы и посмотреть, когда перестанет происходить блокировка.
Если блокировка происходит, когда конкретный пользователь входит в систему, вы можете с уверенностью сказать, что это процесс, запущенный этим пользователем, который вызывает блокировку. Если вы очистили учетные данные, отключили диски и т. Д., Вы можете попробовать заменить профиль пользователя новым.
Да, и запланированные задачи - еще один потенциальный источник неудачных запросов аутентификации как с компьютера, так и с точки зрения пользователя. Это может быть задача, настроенная для запуска в контексте этого пользователя, или запускаемый сценарий, который использует сохраненные учетные данные каким-либо другим способом, который пытается аутентифицироваться с помощью контроллера домена. Это случалось раньше, и время локаута было раздачей.
В домене только один DC? У вас есть доступ к DC?
Что нужно проверить:
Используя LockoutStatus.exe, вы можете увидеть, какие контроллеры домена получают неверные попытки ввода пароля. Используйте EventCombMT.exe, чтобы проанализировать их за вас:
Для EventCombMT:
Дважды щелкните «EventCombMT.exe» и щелкните раскрывающееся меню «Поиск», затем «Встроенный поиск», затем «Блокировка учетной записи». Это сделает предварительное заполнение некоторых критериев поиска для вас. Он получит список ваших контроллеров домена, отметьте поле журнала «Безопасность». Установите флажки для «Аудиты успехов и сбоев», и, наконец, он заполнит некоторые «идентификаторы событий». (Примечание: добавьте следующие идентификаторы событий в строку поиска: 4625 4740 если у вас есть контроллеры домена Windows 2008)
Вы также можете использовать Обозреватель процессов SysInternals и Монитор процесса как говорили другие, но это поможет вам только в том случае, если проблема связана с машиной, на которой вы ее запускаете. Если учетные данные пользователей находятся где-то еще - вышеуказанные шаги помогут.