Блокировка учетной записи домена с правильным паролем каждые несколько минут

У меня есть аккаунт пользователя whos, который блокируется каждые 30 минут. Выполнили все проверки, удалили все кэш-пароли, создали новый профиль, удалили пароль из IE.

Он блокируется, даже когда пользователь использует свою учетную запись (он вошел в систему)

После проверки 20 серверов я обнаружил, что они работают с сервисом, из-за чего его учетная запись блокируется.

675,AUDIT FAILURE,Security,Thu Dec 16 07:54:04 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  userid     User ID:  %{id}     Service Name:  krbtgt/DOMAIN     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  IP address

Кто-нибудь знает, что это такое.

krbtgt/DOMAIN     
Key Distribution Center Service Account

Может кто-нибудь объяснить это мне, почему это происходит и как я могу это исправить.

675,AUDIT FAILURE,Security,Fri Dec 24 09:13:01 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  172.16.5.1    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  172.16.5.102    
644,AUDIT SUCCESS,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,User Account Locked Out:     Target Account Name: user_id    Target Account ID: %{id}     Caller Machine Name: UKNML3266     Caller User Name: LONDON$     Caller Domain: Domain     Caller Logon ID: (0x0,0x3E7)    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.102    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.102    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
c:\sc0472\LONDON-Security_LOG.txt contains 8 parsed events.

Ответ 1

Попробуйте это решение из http://social.technet.microsoft.com/Forums/en/w7itprosecurity/thread/e1ef04fa-6aea-47fe-9392-45929239bd68

Поддержка Microsoft нашла для нас проблему. Наши учетные записи домена были когда компьютер Windows 7 запущен. Компьютер Windows 7 имел скрытый старый пароль из этой учетной записи домена. Есть пароли, которые могут быть сохранены в контексте SYSTEM, которые невозможно увидеть в обычном представлении диспетчера учетных записей.

Скачайте PsExec.exe из http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx и скопируйте до C:\Windows\System32.

В командной строке выполните: psexec -i -s -d cmd.exe

Из нового запуска окна DOS: rundll32 keymgr.dll,KRShowKeyMgr

Удалите все элементы, которые отображаются в списке сохраненных имен пользователей и паролей. Перезагрузите компьютер.

Ответ 2

Я думаю, это подчеркивает серьезный недостаток Windows. У нас есть (techincal) учетная запись пользователя, которую мы используем для нашей системы, состоящей из службы Windows и веб-сайтов, с пулами приложений, настроенными для работы в качестве этого пользователя.

Наша компания имеет политику безопасности, которая после 5 плохих паролей блокирует учетную запись.

Теперь выяснение того, что блокирует учетную запись, практически невозможно на предприятии. Когда учетная запись заблокирована, сервер AD должен регистрироваться в том, какой процесс и какой сервер вызвал блокировку.

Я просмотрел его и он (блокировка инструментов), и он этого не делает. только возможная вещь - это инструмент, но вы должны запускать его на сервере и ждать, если какой-либо процесс это сделает. Но на предприятии с тысячами серверов это невозможно, вы должны угадать. Его безумие.

Ответ 3

У нас была аналогичная проблема, похожая на пользовательский пароль reset в пятницу и в выходные дни, а в понедельник он продолжал запираться.

Оказалось, что он забыл обновить свой пароль на своем мобильном телефоне.

Ответ 4

Вам нужно убедиться, что часы на всех ваших серверах верны. Ошибки Kerberos обычно вызваны тем, что ваши серверные часы не синхронизированы с вашим доменом.

ОБНОВЛЕНИЕ

Код ошибки 0x12 очень конкретно означает "Учетные данные клиентов отозваны", что означает, что эта ошибка произошла после того, как учетная запись была отключена, истекла или заблокирована.

Было бы полезно попытаться найти предыдущие сообщения об ошибках, если вы считаете, что учетная запись была активной - то есть это сообщение об ошибке может не быть основной причиной, у вас будут разные ошибки, предшествующие этой ошибке, которые заставляют учетную запись получать заперта.

В идеале, чтобы получить полный ответ, вам нужно будет повторно активировать учетную запись и следить за журналами за ошибку, возникающую перед сообщениями об ошибке 0x12.

Ответ 5

Я видел эту проблему, когда пользователь настраивал запланированную задачу для запуска под своей учетной записью. Он забыл обновить пароль в задаче после того, как он изменил пароль своей учетной записи. Запланированная задача заключалась в попытке войти в систему со старым паролем и заблокировала его учетную запись.

Ответ 6

Может быть вирусом по имени CONFLICKER. Попробуйте использовать инструмент d.exe от symantec на машине, и ваша проблема будет решена. Проверьте журналы безопасности в контроллере домена и сканируйте эти компьютеры, потому что этот вирус создает плохие пароли и блокирует пользователей.

Ответ 7

Загрузить Средства блокировки учетной записи Microsoft. Используйте LockoutStatus, чтобы найти последний DC, который не предварительно аутентифицировал пользователя, у которого возникли проблемы. Укажите дату и время. Войдите в этот DC, найдите этот таймфрейм и проверьте адрес клиента. Выход из этих серверов.

Ответ 8

Если ваш компьютер находится в домене, вы можете увидеть Windows Rescuer Advanced, http://www.daossoft.com/documents/how-to-reset-windows-domian-account-password.html

Ответ 9

Наконец, я нашел свою проблему. Служба SQL Reporting Service вызывала блокировку учетной записи. Остановитесь и попробуйте, после того, как подтвердите, что больше не было попыток паролей, я должен перенастроить учетную запись службы служб отчетов. --- Не в свойствах службы, она находится в собственной конфигурации Reporting Service.