我们在我们的域名上有一个帐户封锁政策,纯粹是为了制止蛮力攻击。 在10分钟内发生50次错误的login尝试后,它locking了一个帐户10分钟。
就在最近我注意到我的域帐户被定期locking,并且在Microsoft帐户locking工具的帮助下,我设法追踪到从我的桌面PC创buildVPN连接到客户networking。
我在两个域中使用的帐户名称完全相同。 我们的AD是Server 2008 R2,客户的AD是2003 R2。 远程端点是由2003 R2服务器托pipe的PPTP隧道。
我们的networking是路由,而客户networking是一个平面/ 24networking。 我禁用了除IPv4以外的所有协议(因为我只在连接后使用RDP),并禁用了“在远程networking上使用默认网关”。
在其中一个系统上重命名我的帐户,还有另一种方法来解决这个问题吗?
请注意,这从来没有成为一个问题,直到最近,当我的台式电脑升级到Windows 7。
默认情况下,Windows 7在VPN连接后将其L2TP VPN连接configuration为使用其凭据进行所有后续身份validation尝试。 这适用于某些情况,但是对于连接到不与当前计算机的域成员身份相同的login名/域的VPN,这可能会出现问题(导致计算机login的帐户被locking)。
要解决此问题,必须调整保存VPN连接信息的.PBK文件。
在Windows 7中,用户的.PBK文件的path在这里(文件名可能不同):
%APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk 注意:此PC上的%APPDATA%部分已设置为C:\Users\username\AppData\Roaming 。
打开rasphone.pbk文件,find包含以下内容的行:
UseRasCredentials=1
并将其更改为:
UseRasCredentials=0
并保存该文件。
这应该防止locking本地域用户帐户的问题。
启动的地方将是您的DC事件日志,以validationActive Directory说明login失败的原因 – 以及最终locking – ARE。
到目前为止,你只是猜测。