Учетная запись домена блокируется правильным паролем каждые несколько минут

Question

У меня есть пользователь, чья учетная запись блокируется каждые 30 минут. Выполнены все проверки, удалены все пароли кеша, создан новый профиль, удален пароль из IE.

Блокируется, даже когда пользователь использует свою учетную запись (он вошел в систему)

После проверки 20 серверов я обнаружил, что они работают, и, как мне кажется, его учетная запись блокируется.

675,AUDIT FAILURE,Security,Thu Dec 16 07:54:04 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  userid     User ID:  %{id}     Service Name:  krbtgt/DOMAIN     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  IP address    

Кто-нибудь знает, что это такое?

krbtgt/DOMAIN     
Key Distribution Center Service Account

Может кто-нибудь объяснить мне, почему это происходит и как я могу это исправить.

675,AUDIT FAILURE,Security,Fri Dec 24 09:13:01 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  172.16.5.1    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  172.16.5.102    
644,AUDIT SUCCESS,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,User Account Locked Out:     Target Account Name: user_id    Target Account ID: %{id}     Caller Machine Name: UKNML3266     Caller User Name: LONDON$     Caller Domain: Domain     Caller Logon ID: (0x0,0x3E7)    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.102    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.102    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
c:\sc0472\LONDON-Security_LOG.txt contains 8 parsed events.

Answer 1

Попробуйте это решение из http://social.technet.microsoft.com/Forums/en/w7itprosecurity/thread/e1ef04fa-6aea-47fe-9392-45929239bd68

Служба поддержки Microsoft нашла проблему для нас.Наши доменные учетные записи блокировались при запуске компьютера под управлением Windows 7.Компьютер Windows 7 имел скрытый старый пароль от этой учетной записи домена.Есть пароли, которые можно сохранить в контексте SYSTEM, которые нельзя увидеть в обычном представлении диспетчера учетных данных.

Загрузите PsExec.exe из http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx и скопируйте его в C:\Windows\System32.

Из командной строки запустите: psexec -i -s -d cmd.exe

Из нового окна DOS запустите: rundll32 keymgr.dll,KRShowKeyMgr

Удалите все элементы, которые появляются в списке сохраненных имен пользователей и паролей,Перезагрузите компьютер.

Answer 2

Я думаю, что это указывает на серьезный недостаток Windows.У нас есть (techincal) учетная запись пользователя, которую мы используем для нашей системы, состоящей из службы Windows и веб-сайтов, с пулами приложений, настроенными для работы в качестве этого пользователя.

Наша компания имеет политику безопасности, которая после 5 неправильных паролейблокирует учетную запись.

Теперь выяснить, что блокирует учетную запись, на предприятии практически невозможно.Когда учетная запись заблокирована, сервер AD должен регистрировать, какой процесс и какой сервер вызвал блокировку.

Я посмотрел на нее и ее (инструменты блокировки), и он этого не делает.Единственно возможная вещь - это инструмент, но вы должны запустить его на сервере и подождать, чтобы увидеть, если какой-либо процесс делает это.Но на предприятии с тысячами серверов это невозможно, вы должны догадаться.Это безумие.

Answer 3

У нас только что была похожая проблема, похоже, что пользователь сбрасывал свой пароль в пятницу и на выходных, а в понедельник он продолжал блокироваться.

Оказалось, он забыл обновить пароль на своем мобильном телефоне.

Answer 4

Скачать Инструменты блокировки учетной записи Microsoft .Используйте LockoutStatus, чтобы найти последний контроллер домена, который не прошел предварительную аутентификацию пользователя, у которого возникли проблемы.Отметьте дату и время.Войдите в этот DC, найдите тот таймфрейм и проверьте Client Address.Выход с этих серверов.

Answer 5

Может быть вирус по имени CONFLICKER, попробуйте инструмент d.exe от symantec на машине, надеюсь, что ваша проблема будет решена. Проверьте журналы безопасности в контроллере домена и просканируйте эти машины, поскольку из-за этого вируса он создает неверные пароли и блокирует пользователей.

Answer 6

Я видел эту проблему, когда пользователь настроил запланированное задание для запуска под своей учетной записью.Он забыл обновить пароль на задании после того, как изменил пароль своей учетной записи.Запланированное задание пыталось войти со старым паролем и продолжало блокировать свою учетную запись.

Answer 7

Вы должны убедиться, что часы на всех ваших серверах правильные.Ошибки Kerberos обычно вызваны тем, что часы вашего сервера не синхронизированы с вашим доменом.

UPDATE

Код ошибки 0x12 очень точно означает, что «учетные данные клиентов были отозваны», что означает, что эта ошибкапроизошло после того, как учетная запись была отключена, просрочена или заблокирована.

Было бы полезно попытаться найти предыдущие сообщения об ошибках, если вы считаете, что учетная запись была активной - то есть это сообщение об ошибке не может быть корневымпотому что перед этой ошибкой у вас будут разные ошибки, из-за которых учетная запись будет заблокирована.

В идеале, чтобы получить полный ответ, вам необходимо повторно активировать учетную запись и следить за журналами на наличие ошибок.перед сообщениями об ошибках 0x12.

Answer 8

Наконец я нашел свою проблему. Служба отчетов SQL вызывала блокировку моей учетной записи. Остановитесь и попробуйте, после подтверждения, что больше нет паролей. Неудачные попытки. Я должен перенастроить учетную запись службы отчетов. Не в свойствах службы, а в собственной конфигурации службы отчетов.

Answer 9

Если ваш компьютер находится в домене, вы можете увидеть Windows Password Rescuer Advanced, http://www.daossoft.com/documents/how-to-reset-windows-domian-account-password.html