Fëa*_*nor 5 active-directory radius windows-ias-server
用户(我们将称他们为“用户名”)不断被锁定,我不知道为什么。另一个错误密码每 20 分钟记录一次。
PDC 仿真器 DC 正在运行 Server 2008 R2 Std。为锁定记录了事件 ID 4740,但呼叫者计算机名称为空:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/29/2015 4:18:14 PM
Event ID: 4740
Task Category: User Account Management
Level: Information
Keywords: Audit Success
User: N/A
Computer: FQDNofMyPDCemulatorDC
Description:
A user account was locked out.
Subject:
Security ID: SYSTEM
Account Name: MyPDCemulatorDC$
Account Domain: MYDOMAIN
Logon ID: 0x3e7
Account That Was Locked Out:
Security ID: MYDOMAIN\username
Account Name: username
Additional Information:
Caller Computer Name:
锁定源 DC 正在运行运行 IAS (RADIUS) 的 Server 2003。它的安全日志包含了相应的帐户锁定事件,但当然它也缺少来源(Caller Machine Name):
Event Type: Success Audit
Event Source: Security
Event Category: Account Management
Event ID: 644
Date: 5/29/2015
Time: 4:18:14 PM
User: NT AUTHORITY\SYSTEM
Computer: MyRadiusDC
Description:
User Account Locked Out:
Target Account Name: username
Target Account ID: MYDOMAIN\username
Caller Machine Name:
Caller User Name: MyRadiusDC$
Caller Domain: MYDOMAIN
Caller Logon ID: (0x0,0x3E7)
NetLogon Debug Logging 在锁定源 DC 上启用,并且日志 (C:\WINDOWS\debug\Netlogon.log) 显示由于密码错误而导致登录失败,但不显示源(您可以看到它在哪里显示“来自”由两个空格组成,空格之间应该是登录尝试的来源):
05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from Entered
05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from Returns 0xC000006A
IAS 日志 (C:\WINDOWS\system32\LogFiles\IN######.log) 未显示过去 2 天内来自该用户的任何 RADIUS 连接。
除了诅咒微软直到我气喘吁吁,我不知道该去哪里。有没有人有任何可能更有成效的想法?:-D
我刚刚与 Microsoft 就此事进行了通话,因此希望以下信息能有所帮助:)
身份验证尝试可能在多个位置进行,尤其是如果您使用 PEAP 身份验证进行无线连接,身份验证协商也会通过 EAPHost 服务进行。
我发现 EAPHost 服务没有出色的身份验证日志记录(实际上很悲惨 - 跟踪文件),因此,如果由于某种原因在 EAPHost 中身份验证失败,则使用事件日志中的通用身份验证 eventID 记录身份验证失败尝试,而不会记录任何内容全部在 IAS 日志中。
我们确实发现,新建的 RADIUS 服务器在 IAS 日志中记录的信息比我们在生产系统中记录的信息多得多。我通过配置日志进行了重新配置的日志记录,以包含记帐信息(勾选向导中的所有框!),重新启动服务,发现所有丢失的 IAS 事件现在都被记录到 IAS 日志文件中,包括 MAC 地址和 SSID。
希望这会有所帮助:)
| 归档时间: |
|
| 查看次数: |
24656 次 |
| 最近记录: |