我有一个AD用户帐户被重复和频繁locking,我已经能够跟踪locking到Exchange服务器CASarrays。 然而,我对如何继续调查感到不知所措。 Exchange(2013)服务器上的事件日志指示locking源自msExchangeFrontEndTransport.exe,但不指示原始身份validation请求来自何处。 我真的想知道以下任何一种(越多越好):auth IP /计算机名称的来源,auth方法的来源(即webmail,activesync,Outlook客户端等)。
从我已经能够挖掘的事件日志没有指出任何有助于跟踪不良authentication请求的发起点的任何内容。 我90%确定我排除了用户的任何便携式设备,因为我们一度closures了所有用户的设备,并且仍然发生了locking,这已经发生了几个星期,每天有超过600次validation尝试。 我已经将用户帐户重新命名为解决方法,但是我真的想确定这是从哪里来的。 这是唯一以这种方式遭受痛苦的原因。 任何想法将不胜感激!
查看CAS服务器上的IIS日志,这将指向正确的方向。 一个常见的问题是有多个设备的用户尝试连接过期密码并locking帐户。 但是,这可能是滥用。
2012-01-10 14:42:26 172.32.22.12 POST /Microsoft-Server-ActiveSync/default.eas User=ratishnair&DeviceId=Appl8xxxxx4S&DeviceType=iPhone&Cmd=FolderSync&Log=PrxFrom:10.123.33.88_Error:BackingOffMailboxServer_ 443 CONTOSO\CAS01$ 10.123.33.88Apple-iPhone3C1/901.405 503 0 0 765 日志条目引用从http://msexchangeguru.com/2012/02/01/exchange-activesync/
这显示客户端IP,用户名和设备。