Моя учетная запись администратора в нашем центре обработки данных навсегда заблокирована, и я должен разблокировать ее снова и снова с помощью нашего общего администратора центра обработки данных. Я хочу, чтобы это прекратилось, но я не знаю, кто блокирует мою учетную запись и на какой машине это происходит.
В нашем центре обработки данных есть несколько серверов Server 2003, 2008 и 2008 R2. Наши 3 контроллера домена работают под управлением 2 x Server 2008 и 1 x Server 2008 R2.
Как я могу отследить, с какого клиента, на каком сервере мой пользователь навсегда заблокирован?
Обновить: С участием LockOutStatus.exe Я узнал, что время последнего локаута было 13:19. В это время у меня на нашем DC зарегистрирован EventID 4771. Он сообщает мне адрес клиента одного из наших терминальных серверов с именем службы "krbtgt / domain", кодом ошибки 0x18 и типом предварительной аутентификации 2.
Я искал ошибки на этом сервере терминалов, но не нашел некоторых связанных с Kerberos. Я обнаружил ошибки, связанные с GPO, в системном журнале этого терминального сервера: EventID 1006 с ErrorCode 49. Фактически на этот раз я был зарегистрирован на этом сервере терминалов. Но не завтра. Это не будет "коренной ошибкой". Что делать, чтобы найти проблему?
Обновление / решено: Было 4 сеанса на нескольких серверах, где мой пользователь вошел в систему (но отключился) с использованием старых учетных данных. Я использовал LockOutStatus.exe, чтобы узнать время последней блокировки моего пользователя. Затем я просмотрел журналы безопасности и обнаружил событие с идентификатором 4771, содержащее IP-адрес клиента, из-за которого мой пользователь заблокировался. Я вышел из сеанса, разблокировал свою учетную запись пользователя и ждал, пока следующий сеанс / сервер заблокирует моего пользователя. Я повторял это, пока мой пользователь снова не был заблокирован.
Спасибо за хорошие ответы и советы :)
Предполагая, что вы работаете в домене AD, вы можете включить аудит входа в учетную запись в GPO домена по умолчанию. Это включит аудит на всех компьютерах и позволит вам отслеживать, что происходит. Найдя соответствующие записи журнала, вы можете посмотреть тип входа в систему, чтобы попытаться определить, что происходит.
Возможно ли, что у вас отключен сеанс с вашей учетной записью на этом сервере? Если вы недавно изменили свой пароль, любые отключенные, но активные сеансы на сервере / рабочей станции могут привести к чему-то подобному.
Если не:
Я бы попробовал включить отслеживание процессов в дополнение к отслеживанию входа в систему. Это позволит вам увидеть, какой процесс был запущен в момент сбоя входа в систему и, в конечном итоге, блокировки.
В Win2k8 эти идентификаторы событий - 4688 при запуске процесса и 4689 при выходе из процесса. Хотя расшифровать это может быть немного сложно.
Вы можете попробовать установить ознакомительную версию EventSentry (Я являюсь аффилированным лицом), который нормализует данные входа и обработки и сохраняет их в базе данных для облегчения поиска. Например, вы можете видеть, какие процессы выполнялись в данный момент, выполнять поиск по событиям входа на нескольких серверах и т. Д. Однако настройка EventSentry только для этой цели может быть излишней.
Проверяли ли вы свои запланированные задачи, чтобы убедиться, что под вашей учетной записью не настроены никакие задачи?
Я написал об этом запись в блоге некоторое время назад, может дать вам несколько советов - http://www.beakersoft.co.uk/2008/02/07/where-has-that-account-been-locked-out/