正如标题所述,这发生在Windows 2008R2域控制器上的Windows 7帐户中。
我们刚从一开始就从123托pipe交换机转换到Rackspace托pipe交换机,就开始了这一切。 同样在这段时间,DC上的密码开始过期,但不是确切的一天,每个人都有不同的日子,他们需要改变之前。
它只影响了30个帐户中的10个(我知道它是哪个),我看不到它们之间的联系。
我怎样才能找出哪些服务试图login和失败?
当我们切换到Rackspace Hosted Exchange时,遇到了同样的问题。 我甚至购买了Netrix Lockout Examiner,试图找出这个问题无济于事。
在试图找出为什么有些用户经常被locking,有些不是的情况下,我终于意识到被locking的那些用户与他们的电子邮件地址具有相同的Windowslogin名。 我怀疑的是整个过程都是如此。
Outlook会将[email protected]凭据传递到服务器上,以便通往Rackspace,因为技术上[email protected]与您的DC相同,并且密码不同,所以将其locking。
你有两个select(都不是很好):1.让所有的用户保持他们的Exchange密码与他们的Windows相同2.把他们的Windowslogin名改名为你的电子邮件中不同的命名scheme(John.Doe Vs. jdoe)
我花了这么多时间在这方面,联系了Rackspace和微软,都没有提供更好的解决scheme。 有了这些信息,如果你能够追求更好的解决scheme,请分享。
在你解决问题之前,你必须确定问题的真相。
首先在您的DC上启用审核日志login事件。 然后追踪错误的密码尝试来自哪里。 帐户locking和pipe理工具将帮助识别帐户上最后的错误密码尝试(使用lockoutstatus.exe )。
AD帐户不会自行locking,因此某些/某人正在为这些用户创build错误的身份validation请求。
这是Outlook。 我有一个用户打开和closures这个程序,并花了几秒钟连接到服务器,然后当我运行Lockoutstatus(从帐户locking工具),每个“错误的密码”正好与他打开Outlook的确切时间。 不过,每场比赛的开场次数都是3到5次,但不止一次。
不过,我们使用Rackspace Hosted Exchange 2010。 我们使用相同的[email protected],就像我们在域控制器上login一样。 所以,我是[email protected],我也login到我们的DC作为matt.hughes
这怎么能解决,为什么只影响less数人,而不影响我们所有人呢?
我发现了一些最终阻止它的东西。
我input了他们为我们的系统logging的Rackspace唯一用户名。 你必须联系他们才能得到这个清单。 我将这个唯一的用户名放在Outlook的Windows凭据pipe理器中,而不是我的电子邮件地址,并且没有更改密码。 所以,而不是用户的“[email protected]”,我现在有“mex05 \ johnny.hendricks_mydoB3039”作为用户名。
这为less数用户解决了这个问题。 对于剩下的,我发现了一件我以前没有想到的东西。
在Active Directory中,如果你进入用户属性,看看用户名的@_______我们每个人都在johnny.hendricks的用户名,并在下拉列表中,我们有@ mydomain.com我切换到@ mydomain.local,它修复了每个人的错误密码尝试。 这可能是原来的问题,但另一个修复工作,所以谁知道。