公司的分點IT同仁反映如何解決每天都有特定帳號被鎖定,但試問了同事她確定帳號沒打錯,問我有沒有方法解決。
找了一些關於帳號鎖定的相關事件ID如下
Win2k3 |
Win2k8 |
描述 |
644 |
4740 |
已自動鎖定使用者帳戶。 |
529 |
4625 |
登入失敗。嘗試以不明的使用者名稱,或已知使用者名稱與錯誤密碼登入。 |
675 |
4771 |
預先驗證失敗。此事件是在使用者鍵入不正確的密碼時,於金鑰發佈中心(KDC)上所產生。 |
676 |
4772 |
驗證票證要求失敗。在 Windows XP 或 Windows Server 2003 系列中不會產生此事件。 |
681 |
4777 |
登入失敗。嘗試網域帳號登入。在 Windows XP 或 Windows Server 2003 系列中不會產生此事件。 |
我請同事給了我一些資訊
被鎖定的帳號XXX
電腦名稱
作業系統 : windows 8.1
我分點AD環境是windows 2003
查了log 確實該帳號被鎖定id 644,但是電腦名稱是空白
接著我確定該位同仁使用的電腦名稱後,查了一下DNS 看了一下他的ip
接著繼續查了log 發現有一個事件id 675 ,內容錯誤的訊息 0x19 且ip位置就是這台電腦
查詢相關資訊後可能原因是因為windows vista 後支援 AES 128/256 Kerberos 認證關係,而windows 2003 預設使用 RC4-HMAC加密
解決方式就是在用戶端新增以下機碼
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Name: DefaultEncryptionType
Type: REG_DWORD
Value: 23 (dec)/0x17 (hex)
請分點同仁幫該同事加入後觀察一陣子該同仁也沒有被鎖定的訊息
參考連結
本篇瀏覽人數: 8701
您好,上網搜尋偶然看到您這篇文章
想請問一下,2K3裡面需要開啟那些設定呢才會有這些ID呢?
目前我公司有個使用者經常會被鎖定,但是又找不出來是什麼原因…
另外補充一下
公司使用的AD也是2k3
另外使用者被鎖定的時候也有去尋找事件ID,但是找不到您列出的這些ID
所以才冒昧向您請教
您好
參考一下
https://blog.miniasp.com/post/2010/12/07/How-to-analysis-AD-Account-Lockout-problem
您好
稽核要開請參考
https://blog.miniasp.com/post/2010/12/07/How-to-analysis-AD-Account-Lockout-problem