我是最终用户,而不是IT专业人员。 不幸的是,我的企业资源无法解决这个问题。 我正在寻找一些build议给他们。
在过去的四个月里,我一直在我们的公司networking上平均每天login2-3次。 我没有遇到任何问题,并在一天内被locking了7次。 在过去的八年里,我被封锁了两次。
每次locking都需要致电我们的公司服务台以解锁我的账户。 发生locking是因为我们的安全系统“认为”我试图用无效凭证(密码错误)反复validation。
迄今为止,非常繁琐的debugging过程的全部细节都在我的博客文章中: http : //tech.kateva.org/2009/05/debugging-network-account-lockouts.html 。
大约一个星期前,我在Outlook 2007中被黑客入侵,而我的locking已经消失。 成本是,我不得不手动validation(域名/用户名和密码)每个“天”,我的Outlook客户端连接到Exchange服务器的第一次。 讨厌,但我可以忍受。
自从我开始这个过程,我的笔记本电脑已经刷新。 我有一个原始的公司标准磁盘映像新的硬件,我回到了Outlook 2003中。我也回到被locking!
所以我不认为这个问题是在我的笔记本电脑上。
在进一步的调查中,我发现如果我发送Outlook 2003总是请求我没有被locking的凭证。
所以我需要了解身份validation过程如何不同
一个。 Outlook连接到Exchange并使用与我的用户帐户(NTLMnetworking域/ un和pw)相关的凭据自动进行身份validation(标准行为)。
湾 Outlook连接到Exchange,我必须手动input我的networking联合国和pw。
不知何故“B”正常工作。 但是,我认为,使用进程“a”Exchange Server(我们的Outlook?)将错误凭据发送到Active Directory,导致我被locking。
我怀疑我的Active Directory帐户和/或我的Exchange Server邮箱的configuration错误。
我需要向我们的服务台和安全柜台提供他们可以在Active Directory或Exchange Server上进行调查的很好的列表。 如果我不能这样做,我需要获得一个新的公司ID,放弃我现有的用户ID。
我认为,如果我能把他们指向正确的方向,给他们相当准确的指导,他们就能解决这个问题。
任何build议都会有帮助。 我可能只需研究NTLM(AD)身份validation如何与Exchange Server请求一起工作。
我们曾经在一个大型组织中遇到了帐户locking问题。
我做的(作为IT组织的成员)是build立一个坐在PDC(现在的PDC模拟器)上的脚本。 每当帐户被locking时,此域控制器在安全日志中注册事件ID# 644 (Windows Server 2008上的4740)。 该事件还包括尝试使用不正确的密码进行上次login的客户端计算机的名称。 因此,我的脚本每5分钟就会轮询一次安全日志,并将这些数据发布到帮助台可以访问的网页上。
一旦我们有了这个,只要改变服务台的工作stream程就可以检查那个页面,只要他们有账户locking问题,然后帮助用户发现导致locking的那台机器是什么,这是微不足道的。 正如你在博客文章中所指出的,罪魁祸首通常是第二台机器,用户忘记了他们在主机上更改密码时所login的机器。 通常,第二台机器将运行Outlook,或通过用户(现在已过期)凭据映射驱动器。
而当服务台在他们的一天中rest时,他们可以主动检查这个网页,并解决那些还不知道他们是账户封锁受害者的问题。
如果对这个剧本有兴趣,我可以把它挖出来,把它弄干净,然后放在这里。
从ITangular度来看,另一个答案是重新考虑账户locking政策。
将locking策略设置为10分钟内10次错误的login尝试导致完全locking, 直到pipe理员重置帐户为止,这并不罕见。 不仅如此,如此低的限制使得您容易受到简单的拒绝服务(DoS)攻击:BadGuy(TM)只需要使用10个不好的密码,现在他已经locking了帐户。 想象一下,这发生在500个帐户! 我已经看到了:这没有什么乐趣。 更糟糕的是,想象一下,所有的pipe理员帐户都已经完成了!
这是我的观点,这个限制可以在很小的安全风险增加的情况下得到很大的缓解。
蛮力密码破解,如果密码甚至是最简单的复杂的,需要数千或数百万次尝试,才有可能获得成功。 那么为什么不考虑在5分钟内允许50次login尝试的密码策略,然后5分钟后自动重置? 以这样的速度(每5分钟尝试50次),大多数暴力脚本都会放弃,但是大多数粗略的DoS尝试都不会达到极限。 那些明白账户在5分钟后解锁的暴力脚本,允许再次50次尝试,将被限制为每天7200次尝试。 当然,你可以随意摆弄任何你喜欢的东西。
我假设您用于Exchange的用户名,密码和域与login到您的计算机的凭据相同。
如果问题在重新安装企业SOE后重新生成,并且只发生在您身上…您是否拥有漫游configuration文件,或者以任何其他方式将您的设置推送到networking位置? 如果这样可以解释为什么问题跟着你在工作站刷新。 你的博客文章说你“恢复了数据”到你的新的国有企业。 你确定你没有恢复违规的应用程序?
卸载您可能添加到Outlook 2003的任何插件,以及您收到它之后添加到新的SOE中的任何其他非标准(如IT部门为您安装的非标准部件)定制。
大多数情况下,我看到这是因为有人在计划任务中或在locking的远程桌面会话中遗漏了旧凭据。 您可以尝试使用Wireshark和Sysinternals工具的组合来识别引起locking的机器上的违规进程(假设它来自您的机器)。
UPDATE
来自Microsoft的此链接可能会帮助您和/或您的IT团队处理此问题。
[疑难解答帐户locking]( http://technet.microsoft.com/en-us/library/cc773155 (WS.10) .aspx “Microsoft Technet”)
我要回答我自己的问题。 即使在重新启用Outlook传递身份validation后,我也没有被locking超过一周,所以即使没有明确的治疗方法,我也可以报告我留下的东西。
提醒一下,上次我被锁在外面的时候,我刚刚收到一台全新的笔记本电脑,上面有一个新的公司形象。
我做的最后两件事是:
我非常感谢Neobyte提供给Microsoft修订的故障排除页面的链接:
http://technet.microsoft.com/en-us/library/cc773155%28WS.10).aspx
我留下了一些精神创伤。 鉴于与微软的authentication服务和他们的传统黑客相关的各种各样的问题,以及分布式身份validation和事后安全function,如身份validationlocking的交集,我现在对我使用任何新的或新颖的企业networking或“云”举措。 他们需要build立在比微软提供的基础设施更强大的基础设施上,他们需要IT资金和IT重组来实施。
有一件事是在我身上发生的,就是在DC上可能存在时间同步的问题,而且可能是你的工作站阻碍了Kerberos。 不好的时间可能会导致login失败,这将导致locking。 命令“w32tm”可以帮助您诊断工作站是从DC还是Exchange服务器(或相互之间)漂stream的时间。 你不需要任何特殊的特权来检查我相信的命令。
这是我的猜测 ,手动Outlooklogin正在开始一个全新的login会话,而不是尝试重复使用您login桌面会话时得到的令牌。 无论出于何种原因,这不会像桌面login那样变得陈旧。
接下来的事情我会寻找可疑的事件日志条目,但我认为这已经完成。 不幸的是,我无法描述什么样的“可疑”。 我会比较一个正常的传递login到Exchange与您的失败login,并开始使用谷歌search的差异,如果它不明显。 :}
不久前,用户的帐户被反复locking,我们遇到了问题。 原来他试图通过一个IMAP客户端(在这种情况下,iPhone)build立他的电子邮件帐户,并且由于我们的密码策略要求每30天更换一次密码,当他更改密码但没有在iPhone上更新时,由于使用不正确的密码而被locking。
值得检查至less。