Myr*_*rys 5 active-directory authentication
有一个奇怪且令人困惑的问题(对我和用户而言)困扰着身份验证。我不知道它发生了多久,但我相信它会持续很长时间。直到最近,通过使用帐户锁定工具,我才意识到这些身份验证问题有时是由系统故障而不是用户错误引起的。
发生的情况是用户正确地进行了身份验证,但系统拒绝了他们的密码。我想重复一遍:他们使用正确的用户名、密码和域登录。这不是胖手指;这不是客户问题;这不是用户错误;它不是过期的密码;它不特定于任何服务。
用户正确验证时的行为是 DC 将“登录失败”计数重置为 0。当他们失败时,它会增加它并设置“上次失败”时间。但是当这个故障发生时,两者都不会发生;认证尝试被拒绝,但计数不会增加 1,也不会重置,并且最后一次失败时间不会改变。
该问题发生在多个设备和服务中。今天我有一个学生无法登录多台计算机,以及网络邮件。我比较了来自计算机和 DC 的事件日志;我认为用户被错误拒绝(并且失败计数没有上升)和她被正确拒绝时的事件之间没有区别,因为我故意让她输错了密码。
我自己已经这样做了,尝试登录到学生新创建的帐户(使用已知的密码方案)。许多通过 AD 进行身份验证的服务的用户都遇到过这种情况。它已经发生在教职员工、教职员工和学生身上。据我所知,这是直接在 DC 上的身份验证问题;该帐户有些奇怪,但不是密码过期、禁用等的典型罪魁祸首之一。
重置密码可以解决问题。问题就迎刃而解了。但是这个问题的频率(就在本周大约有 8-10 个案例,最多 100 次网络密码重置)让我相信这是一个严重的问题。
我不知道这个问题发生了多久。如果不使用帐户锁定工具,我将永远不会看到错误计数无法增加,因此假设用户知道密码是错误的。我曾多次发生用户发誓他们知道他们的登录名的情况,并且它“昨天有效”。我不知道有多少次是真的,如果有的话。即使在获得该工具之后,在我相信这是一个真正的问题之前,它已经发生了多次并且出现了几个月的问题。直到我真的遇到这种情况,输入学生的初始密码,看到失败次数没有上升,我才真的相信。
我们的AD环境大多是Windows server 2008,有的DC还是Server 2003,环境是单域。如果有任何其他故障排除所需的相关技术细节,请告诉我。
编辑:正如接受的答案所示,这确实是用户错误。向我“证明”这是一个真正问题的事件是,当我登录到一个新创建的帐户时,它在没有增加错误密码计数的情况下失败了。我们有新帐户和密码重置标准。可能另一个管理员忽略了标准并将此用户的密码重置为其他内容。当我尝试登录新用户时,错误密码未能增加(但我被拒绝了),我认为这是一个问题的证明。许多谷歌搜索未能找到描述错误密码计数无法上升的情况的页面......希望这个答案将来能帮助其他人。
您是否启用了密码历史记录?如果输入的密码与帐户的最后两个密码中的任何一个匹配,则身份验证将被拒绝,但badPwdCount不会增加。我正在尝试围绕您描述的其余部分进行思考,但这至少可以解释“丢失”的错误密码增量。
重读你的问题,听起来像管理重置密码总是有积极的结果,对吗?还想知道您的 PDCe 使用的是什么操作系统(2003 年、2008 年)。是否有任何防火墙可能会阻止访问 PDCe(或任何其他 DC)?请记住,虽然最终用户密码更改通过 kpasswd 协议 (TCP/464) 从客户端传送到本地 DC,但密码更改的 PDCe 通知是通过 RPC 调用。目的港将从 2003 年到 2008 年发生变化。