服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 更改密码后偶尔lockingLDAP帐户 – 查找无效尝试的来源
Intereting Posts
我们应该使用哪种types的RAM? 已注册或未注册? 不同的内部域和外部域的DNS问题 提供访问VPN客户端的Samba服务器 phpMyAdmin显示数据库是MyISAM,但表是InnoDB 使用主机名时,组策略不会阻止RDP保存的凭据 在不创build新的服务主体的情况下实现了Kerberized NFSv4 Nginx将urlredirect到html文件并追加空参数 无法再在Google Apps用户的帐户中添加电子邮件别名 testing清单时Puppet错误 你find命令吗? 你用什么命令行工具来监控linux上的主机networking活动? 如果我的LEC表示中央办公室有问题,我还有什么替代方法? 我可以将包含由3个不同用户拥有的文件的子树移动到sshfs挂载点吗? itk_post_read():setgid():操作不允许 处理来自被阻止的IP的POST请求

更改密码后偶尔lockingLDAP帐户 – 查找无效尝试的来源

在小型机器networking(<1000)上,我们有一个用户,在密码更改之后的不确定间隔后,其帐户被locking。

我们在查找无效login尝试的来源方面遇到了严重的困难,如果你们中的一些人能够通过你的思考过程和为了解决问题而执行的检查,我将非常感激。

我所知道的是,这个帐户每天被locking几次(5+),我甚至不能确定这是由于login尝试失败所致,因为在帐户被locking之前没有任何失败logging。

到目前为止我已经尝试过;

  • 将帐户logging在我们所能想到的所有内容之后,并使用新密码重新login
  • 扫描用户的邮箱,查找可能执行LDAP查找的任何非标准软件
  • 检查我们的生产箱上的所有已安装的服务以确定没有任何服务正试图在该帐户下运行
  • 将用户更改回旧密码(问题仍然存在,所以也许密码更改是一个红鲱鱼)
  • 在执行大量LDAPvalidation的盒子上的Wireshark – 拒绝只发生在帐户已被locking之后
  • 在“控制面板” – >“用户帐户” – >“高级”中清除凭证caching
  • 看当地的

我不知道该怎么尝试。 我很乐意尝试您的任何build议来诊断问题。 我认为我的问题归结为一个简单的要求。

我需要一种技术来推导导致帐户被locking的无效login尝试的源(​​应用程序/主机)。

我不确定这是否可能,但我怀疑还有更多我可以尝试。

非常感谢,

市景

编辑 – 解决

TLDR – 在具有旧凭证的Client Box上configuration的RSS Feed Reader会导致连续生成软件(读者试图login)来locking帐户,因为它每5分钟进行一次失败的login尝试。

战略

我查看了我们所拥有的关键基础设施的日志,查找了用户名。 很显然,连续构build软件的尝试失败了很多。 那么就是在这两个盒子之间进行捕捉电线的情况,试图找出我们来自哪里的要求。 我们杀了进程,直到find合适的进程。

谢谢大家的帮助,这听起来很容易,现在它已经sorting了!

不幸的是,在很多情况下,安全事件日志将事件ID 680看起来像这样,工作站名称将是空白的。 

680,AUDIT FAILURE,Security,Fri Feb 25 14:29:37 2011,NT AUTHORITY\SYSTEM,Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: jdoe Source Workstation: Error Code: 0xC0000064

公开更多信息的一种方法是启用netlogon详细logging。 在logging事件的域控制器上,创build以下registry值: 

 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters] "DBFlag"=dword:24401F04

重新启动netlogon服务以使其生效。 详细信息将logging在:%systemroot%\ debug \ netlogon.log和netlogon.bak。 日志文件翻转并重新命名为.bak大约19 MB。 其中一个事件发生后,从发生事件的直stream复制两个文件,并在文本编辑器中打开它们并search用户的名称。

如果你幸运的话,它会有这样的事情: 

 02/12 10:54:39 [LOGON] ACMI: SamLogon: Transitive Network logon of (null)\jdoe from (via EXCHANGE2) Entered 02/12 10:54:39 [LOGON] ACMI: NlPickDomainWithAccount: jdoe: Algorithm entered. UPN:0 Sam:1 Exp:0 Cross: 0 Root:0 DC:0 02/12 10:54:39 [LOGON] ACMI: NlPickDomainWithAccount: Username jdoe is hq.acme.com\jdoe (found On GC)

请注意,如果您有多个域控制器,则在重新启动netlogon服务时,正在进行login尝试的计算机可能会切换到另一个dc,因此请准备在多个dc上启用该服务。 如果您拥有包含子域的多域环境,则可能必须在违规机器所在的位置之前,将其从子域跟踪到根域和另一个子域。 有问题的机器可能是任何东西,它不一定是一个Windows工作站。 它可能是一个多functionnetworking打印机/复印机,或者是一个正在尝试与您的Exchange服务器进行身份validation的SMTP连接的电子邮件客户端。

FWIW(也许并不多 – 只是把东西扔给你),当我们遇到与AD域类似的问题时,我们终于使用这个工具集来追查犯罪者。

在一个案例中,事实certificate,它是在他们login的另一栋build筑中的一间培训室工作站,但几个星期前还没有搬出,而那段时间以来一直没有使用过。

听起来像你已经尝试了所有的一切。 我会认为安全日志会指示试图连接的工作站。

与一些虚拟机用户一起在物理服务器上映射了一个驱动器,然后虚拟机将使用旧的凭据并有效地locking帐户。 由于虚拟机已经closures了两次密码更改用户不认为检查。 但是,安全日志给了我们计算机名称。

有兴趣在这里听到解决scheme