我们正在运行在Windows 2008 / Windows 7环境中。
我的用户每天都被locking在Active Directory帐户之外。 这发生在每次重置后的10到18小时之间。
这是上周刚刚开始的。
我可以看到,locking的原因是失败的密码尝试次数。 但是,用户在解锁系统时不会失败。
因此,我认为必须有一个服务,或一些应用程序,坚持他的凭据(可能是旧的?),并试图访问networking,从而引发了停工事件。
有什么工具可以告诉我这些login失败的计算机是从哪里来的? 有什么可以推荐进一步解决这个问题? 这变得非常令人沮丧。
谢谢!
而不是日志潜水(正如迄今为止的其他答案所build议的那样), 我更喜欢使用Microsoft的帐户locking工具 。
至less,在向我展示哪个域控制器要login时非常有帮助。
(是的,它在Server 2008 R2上工作,尽pipe它最初是为2000和2003开发的。)
在用户使用Active Directory服务器login时,您将在安全事件日志中find一个条目。
事件ID可能是4771(Kerberos身份validation服务)
它可能看起来类似于以下条目:
Kerberos pre-authentication failed. Account Information: Security ID: DOMAIN/USERACCOUNT Account Name: USERACCOUNT Service Information: Service Name: krbtgt/DOMAIN Network Information: Client Address: ::ffff: **172.17.xx.xx** Client Port: 59596 Additional Information: Ticket Options: 0x40810010 Failure Code: 0x18 Pre-Authentication Type: 2 Certificate Information: Certificate Issuer Name: Certificate Serial Number: Certificate Thumbprint: Certificate information is only provided if a certificate was used for pre-authentication. Pre-authentication types, ticket options and failure codes are defined in RFC 4120. If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present. 客户端地址线将通知您来自哪个客户端/服务器的login尝试来自哪个客户端/服务器。 (在这个例子中是172.17.xx.xx)