我们的数据中心pipe理员帐户被永久locking,我们必须一次又一次地与我们的数据中心pipe理员解锁。 我希望它停止,但是我不知道是谁locking了我的账户以及发生在哪台机器上。
我们在Datacenter有几台Server 2003,2008和2008 R2服务器。 我们的3个域控制器运行2个Server 2008和1个Server 2008 R2。
如何从哪个客户端追踪我的用户被永久locking在哪个服务器上?
更新:与LockOutStatus.exe我发现最后locking时间是13:19。 在这个时候,我在我们的DC上login了EventID 4771。 它告诉我服务器名称为“krbtgt / domain”失败代码0x18和预authenticationtypes2的terminal服务器之一的客户端地址。
我查找该terminal服务器上的错误,但没有find一些相关的Kerberos。 我在那个terminalserver的系统日志上发现了与GPO相关的错误:事件ID 1006与ErrorCode 49.事实上,我这次login在这个terminal服务器。 但不是明天。 这不会是“根本错误”。 任何你想做什么来find问题?
更新/解决:有几个服务器上有4个会话,我的用户使用旧凭证login(但是断开连接)。 我使用LockOutStatus.exe来查找用户上次locking的时间。 然后我看着安全日志,发现一个ID为4771的事件,该事件持有客户端的IP,导致我的用户locking。 我退出会话,解锁我的用户帐户,并等待下一个会话/服务器来locking我的用户。 我重复说,直到我的用户没有再被locking。
感谢您的好答案和提示:)
是否有可能与该服务器上的用户帐户断开连接? 如果您最近更改了密码,则服务器/工作站上任何断开连接但处于活动状态的会话都可能导致类似的情况。
如果不:
除了login跟踪外,我还会尝试启用进程跟踪。 这将使您能够看到在login失败并最终发生locking时启动了哪个进程。
在Win2k8上,当进程启动时,这些事件id是4688,当进程退出时是4689。 解密,虽然可以有点棘手。
您可以尝试安装EventSentry (我隶属于)的评估版本,它将login和处理数据标准化并将其存储在数据库中以便于search。 例如,您可以看到当时正在运行哪些进程,通过跨多台服务器login事件等进行search。 然而,仅仅为此设置EventSentry可能是矫枉过正的。
你有没有检查你的计划任务,以确保没有任何任务configuration在您的用户帐户下?
假设您在AD域中工作,则可以在默认域GPO中启用帐户login审核。 这将启用所有计算机上的审计,并应允许您跟踪发生了什么事情。 一旦find相关的日志条目,您可以查看logintypes来尝试确定发生的事情。
我刚才写了一篇关于这个的博客,可能会给你一些指点 – http://www.beakersoft.co.uk/2008/02/07/where-has-that-account-been-lockedout