特定AD帳號鎖定問題

公司的分點IT同仁反映如何解決每天都有特定帳號被鎖定,但試問了同事她確定帳號沒打錯,問我有沒有方法解決。

找了一些關於帳號鎖定的相關事件ID如下

Win2k3

Win2k8

描述

644

4740

已自動鎖定使用者帳戶。

529

4625

登入失敗。嘗試以不明的使用者名稱,或已知使用者名稱與錯誤密碼登入。

675

4771

預先驗證失敗。此事件是在使用者鍵入不正確的密碼時,於金鑰發佈中心(KDC)上所產生。

676

4772

驗證票證要求失敗。在 Windows XP 或 Windows Server 2003 系列中不會產生此事件。

681

4777

登入失敗。嘗試網域帳號登入。在 Windows XP 或 Windows Server 2003 系列中不會產生此事件。

我請同事給了我一些資訊

被鎖定的帳號XXX

電腦名稱

作業系統 : windows 8.1

我分點AD環境是windows 2003

查了log 確實該帳號被鎖定id 644,但是電腦名稱是空白

2019-05-28_165110

接著我確定該位同仁使用的電腦名稱後,查了一下DNS 看了一下他的ip

接著繼續查了log 發現有一個事件id 675 ,內容錯誤的訊息 0x19 且ip位置就是這台電腦

2019-05-28_165207

查詢相關資訊後可能原因是因為windows vista 後支援 AES 128/256 Kerberos 認證關係,而windows 2003 預設使用 RC4-HMAC加密

解決方式就是在用戶端新增以下機碼

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Name: DefaultEncryptionType
Type: REG_DWORD
Value: 23 (dec)/0x17 (hex)

請分點同仁幫該同事加入後觀察一陣子該同仁也沒有被鎖定的訊息

參考連結

https://www.mcbsys.com/blog/2009/12/windows-7-causes-675-0x19-security-errors-in-windows-2003-domain/



本篇瀏覽人數: 305
分類: 2003 DC Server 篇, MIS文章-Windows篇。這篇內容的永久連結

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *