一个用户(我们称之为“用户名”)不断被locking,我不知道为什么。 另一个错误的密码每20分钟logging一次。
PDC模拟器DC正在运行Server 2008 R2标准版。 logging事件ID 4740locking,但来电显示名称为空白:
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 5/29/2015 4:18:14 PM Event ID: 4740 Task Category: User Account Management Level: Information Keywords: Audit Success User: N/A Computer: FQDNofMyPDCemulatorDC Description: A user account was locked out. Subject: Security ID: SYSTEM Account Name: MyPDCemulatorDC$ Account Domain: MYDOMAIN Logon ID: 0x3e7 Account That Was Locked Out: Security ID: MYDOMAIN\username Account Name: username Additional Information: Caller Computer Name: locking源DC正在运行运行IAS(RADIUS)的Server 2003。 它的安全日志包含一个相应的帐户locking事件,但是当然也缺less源代码(Caller Machine Name):
Event Type: Success Audit Event Source: Security Event Category: Account Management Event ID: 644 Date: 5/29/2015 Time: 4:18:14 PM User: NT AUTHORITY\SYSTEM Computer: MyRadiusDC Description: User Account Locked Out: Target Account Name: username Target Account ID: MYDOMAIN\username Caller Machine Name: Caller User Name: MyRadiusDC$ Caller Domain: MYDOMAIN Caller Logon ID: (0x0,0x3E7)
在locking源DC上启用了NetLogondebugging日志logging,并且日志(C:\ WINDOWS \ debug \ Netlogon.log)显示由于密码错误而失败的login,但不显示源(可以看到它后面的“from”由两个空格,在空格之间应该是login尝试的来源):
05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from Entered 05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from Returns 0xC000006A
IAS日志(C:\ WINDOWS \ system32 \ LogFiles \ IN ###### .log)在过去两天内不显示此用户的任何RADIUS连接。
我不知道从这里走到哪里是除了诅咒微软,直到我喘不过气来。 有没有人有任何想法可能会更有成效? 😀
我只是刚刚与微软完成了关于这个,所以希望以下信息将有助于:)
身份validation尝试可能发生在几个位置,特别是如果您使用PEAP身份validation进行无线连接,则身份validation协商也会通过EAPHost服务进行。
我发现EAPHost服务没有奇妙的身份validation日志logging(实际上是悲惨的 – 跟踪文件),所以如果由于某种原因身份validation在EAPHost失败,身份validation失败尝试logging使用事件日志中的一些通用的身份validationeventIDs和什么全部在IAS日志中。
我们发现的是,新build的RADIUS服务器在IAS日志中logging的信息远远多于我们在生产系统中的信息。 我通过configuration日志进行了重新configuration的logging,以包括记帐信息(勾选向导中的所有框),重新启动服务,发现所有丢失的IAS事件现在都被logging,包括MAC地址和SSID到IAS日志文件中。
希望这可能有助于:)