Sam*_*ore 11 windows active-directory windows-server-2003
我有用户whos帐户每隔30分钟保持锁定.完成所有检查,删除任何缓存密码,创建新配置文件,从IE删除密码.
即使用户使用他的帐户(他已登录)它也会锁定
在检查了20台服务器后,我发现它们正在运行服务,导致他的帐户被锁定.
675,AUDIT FAILURE,Security,Thu Dec 16 07:54:04 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: userid User ID: %{id} Service Name: krbtgt/DOMAIN Pre-Authentication Type: 0x2 Failure Code: 0x12 Client Address: IP address
有谁知道这是什么.
krbtgt/DOMAIN
Key Distribution Center Service Account
有些人可以向我解释为什么会发生这种情况以及如何解决这个问题.
675,AUDIT FAILURE,Security,Fri Dec 24 09:13:01 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: user_id User ID: %{id} Service Name: krbtgt/Domain Pre-Authentication Type: 0x2 Failure Code: 0x12 Client Address: 172.16.5.1
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: user_id User ID: %{id} Service Name: krbtgt/Domain Pre-Authentication Type: 0x2 Failure Code: 0x12 Client Address: 172.16.5.102
644,AUDIT SUCCESS,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,User Account Locked Out: Target Account Name: user_id Target Account ID: %{id} Caller Machine Name: UKNML3266 Caller User Name: LONDON$ Caller Domain: Domain Caller Logon ID: (0x0,0x3E7)
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: user_id User ID: %{id} Service Name: krbtgt/Domain Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 172.16.5.102
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: user_id User ID: %{id} Service Name: krbtgt/Domain Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 172.16.5.102
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: user_id User ID: %{id} Service Name: krbtgt/Domain Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 172.16.5.8
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: user_id User ID: %{id} Service Name: krbtgt/Domain Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 172.16.5.8
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: user_id User ID: %{id} Service Name: krbtgt/Domain Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 172.16.5.8
c:\sc0472\LONDON-Security_LOG.txt contains 8 parsed events.
小智 12
从http://social.technet.microsoft.com/Forums/en/w7itprosecurity/thread/e1ef04fa-6aea-47fe-9392-45929239bd68尝试此解决方案
Microsoft支持部门为我们找到了问题.启动Windows 7计算机时,我们的域帐户已锁定.Windows 7计算机具有该域帐户的隐藏旧密码.存在可以存储在SYSTEM上下文中的密码,这些密码在正常的凭据管理器视图中无法看到.
PsExec.exe从http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx下载并复制到C:\Windows\System32.从命令提示符运行:
psexec -i -s -d cmd.exe从新的DOS窗口运行:
rundll32 keymgr.dll,KRShowKeyMgr删除存储的用户名和密码列表中显示的所有项目.重新启动计算机.
我认为这凸显了Windows的严重缺陷.我们有一个(techincal)用户帐户,我们用于包含Windows服务和网站的系统,应用程序池配置为以此用户身份运行.
我们公司有一个安全策略,在5个错误的密码之后,它会锁定帐户.
现在找出锁定帐户的内容在企业中几乎是不可能的.当帐户被锁定时,AD服务器应该记录从哪个进程和哪个服务器导致锁定.
我已经调查了它(锁定工具)并且它不会这样做.只有可能的东西是一个工具,但你必须在服务器上运行它,并等待看看是否有任何进程正在执行它.但是在拥有1000台服务器的企业中,你不得不猜测.这很疯狂.
您需要确保所有服务器上的时钟都是正确的。Kerberos 错误通常是由于您的服务器时钟与您的域不同步引起的。
更新
故障代码 0x12 非常具体地表示“客户端凭据已被撤销”,这意味着一旦帐户被禁用、过期或锁定,就会发生此错误。
如果您认为该帐户处于活动状态,那么尝试查找以前的错误消息会很有用 - 即此错误消息可能不是根本原因,在此错误之前您会遇到不同的错误,从而导致帐户被锁定。
理想情况下,要获得完整的答案,您需要重新激活帐户并密切关注日志以查找 0x12 错误消息之前发生的错误。
| 归档时间: |
|
| 查看次数: |
144806 次 |
| 最近记录: |