it-swarm.com.de

Domänenkonto, das alle paar Minuten mit dem korrekten Kennwort gesperrt wird

Ich habe Benutzer, deren Konto alle 30 Minuten gesperrt wird. Führen Sie alle Prüfungen durch, entfernen Sie alle Cache-Kennwörter, erstellen Sie ein neues Profil, und löschen Sie das Kennwort aus dem IE.

Es wird gesperrt, auch wenn der Benutzer sein Konto verwendet (er ist angemeldet).

Nachdem ich 20 Server überprüft hatte, stellte ich fest, dass diese Dienste ausgeführt werden, was dazu führt, dass sein Konto gesperrt wird.

675,AUDIT FAILURE,Security,Thu Dec 16 07:54:04 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  userid     User ID:  %{id}     Service Name:  krbtgt/DOMAIN     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  IP address    

Weiß jemand was das ist.

krbtgt/DOMAIN     
Key Distribution Center Service Account

Können mir einige bitte erklären, warum dies geschieht und wie ich das beheben kann.

675,AUDIT FAILURE,Security,Fri Dec 24 09:13:01 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  172.16.5.1    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  172.16.5.102    
644,AUDIT SUCCESS,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,User Account Locked Out:     Target Account Name: user_id    Target Account ID: %{id}     Caller Machine Name: UKNML3266     Caller User Name: LONDON$     Caller Domain: Domain     Caller Logon ID: (0x0,0x3E7)    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.102    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.102    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
c:\sc0472\LONDON-Security_LOG.txt contains 8 parsed events.
11
SameasBefore

Versuchen Sie diese Lösung unter http://social.technet.Microsoft.com/Forums/de/w7itprosecurity/thread/e1ef04fa-6aea-47fe-9392-45929239bd68

Der Microsoft Support hat das Problem für uns gefunden. Unsere Domain-Konten lauteten Sperren, wenn ein Windows 7-Computer gestartet wurde. Der Windows 7-Computer hatte ein verstecktes altes Passwort von diesem Domänenkonto. Es gibt Kennwörter, die im SYSTEM-Kontext gespeichert werden können und nicht gesehen werden können in der normalen Credential Manager-Ansicht.

Laden Sie PsExec.exe von http://technet.Microsoft.com/en-us/sysinternals/bb897553.aspx herunter und kopieren Sie es zu C:\Windows\System32.

Von einer Eingabeaufforderung aus ausführen: psexec -i -s -d cmd.exe

Führen Sie im neuen DOS-Fenster Folgendes aus: rundll32 keymgr.dll,KRShowKeyMgr

Entfernen Sie alle Elemente, die in der Liste der gespeicherten Benutzernamen und Kennwörter angezeigt werden. Starte den Computer neu.

12
Puzzled

Ich denke, das hebt einen gravierenden Mangel in Windows hervor. Wir haben ein (technisches) Benutzerkonto, das wir für unser System verwenden, bestehend aus einem Windows-Dienst und Websites. Die App-Pools sind so konfiguriert, dass sie als dieser Benutzer ausgeführt werden.

Unser Unternehmen hat eine Sicherheitsrichtlinie, die das Konto nach 5 falschen Passwörtern sperrt.

In einem Unternehmen ist es praktisch unmöglich herauszufinden, was das Konto sperrt. Wenn das Konto gesperrt ist, meldet sich der AD-Server an, von welchem ​​Prozess und von welchem ​​Server die Sperrung verursacht wurde.

Ich habe nachgesehen und es (Werkzeuge aussperren) und es tut dies nicht. Möglich ist nur ein Tool, aber Sie müssen es auf dem Server ausführen und abwarten, ob ein Prozess es ausführt. Aber in einem Unternehmen mit Tausenden von Servern ist das unmöglich, müssen Sie raten. Es ist verrückt.

6
JML

Wir hatten gerade ein ähnliches Problem. Der Benutzer hat sein Kennwort am Freitag und am Wochenende zurückgesetzt und am Montag wurde er weiterhin gesperrt. 

Es stellte sich heraus, dass er vergessen hatte, sein Passwort auf seinem Handy zu aktualisieren.

3
Bonez

Laden Sie Microsoft Account Lockout Tools ..__ herunter. Verwenden Sie LockoutStatus, um den letzten DC zu suchen, der den Benutzer, der Probleme hat, nicht vorauthentifiziert hat. Notieren Sie Datum und Uhrzeit . Melden Sie sich bei diesem Domänencontroller an, ermitteln Sie diesen Zeitraum und überprüfen Sie die Clientadresse . Melden Sie sich von diesen Servern ab.

1
camelin0

Sie müssen sicherstellen, dass die Uhren auf allen Servern korrekt sind. Kerberos-Fehler werden normalerweise dadurch verursacht, dass Ihre Serveruhr nicht mit Ihrer Domäne synchronisiert ist.

AKTUALISIEREN

Fehlercode 0x12 bedeutet ganz spezifisch "Anmeldeinformationen der Kunden wurden zurückgezogen", was bedeutet, dass dieser Fehler aufgetreten ist, nachdem das Konto deaktiviert, abgelaufen oder gesperrt wurde.

Wenn Sie der Meinung sind, dass das Konto aktiv war, können Sie versuchen, die vorherigen Fehlermeldungen zu finden. Das heißt, diese Fehlermeldung ist möglicherweise nicht die Hauptursache. Vor diesem Fehler werden andere Fehler angezeigt, wodurch das Konto gesperrt wird.

Um eine vollständige Antwort zu erhalten, müssen Sie im Idealfall das Konto erneut aktivieren und die Protokolle auf Fehler überprüfen, die vor den 0x12-Fehlermeldungen aufgetreten sind.

1
Fenton

Möglicherweise ist der Virus mit dem Namen CONFLICKER das Programm d.exe von Symantec auf dem Computer installiert. Hoffen Sie, dass Ihr Problem behoben ist .. Überprüfen Sie die Sicherheitsprotokolle im Domänencontroller und überprüfen Sie diese Computer aufgrund dieses Virus .

1
Ansi

Ich habe dieses Problem gesehen, als der Benutzer eine geplante Aufgabe für sein Konto eingerichtet hatte. Er hat vergessen, das Kennwort für die Aufgabe zu aktualisieren, nachdem er sein Kennwort geändert hat. Die geplante Aufgabe versuchte, sich mit dem alten Kennwort anzumelden und sperrte sein Konto aus.

1
Eric A. Laney

Wenn sich Ihr Computer in einer Domäne befindet, können Sie Windows Password Rescuer Advanced sehen, http://www.daossoft.com/documents/how-to-reset-windows-domian-account-password.html .

0
syonxu

Endlich habe ich mein Problem gefunden. SQL Reporting Service verursachte die Sperrung meines Kontos. Stoppen Sie und versuchen Sie es, nachdem Sie bestätigt haben, dass keine weiteren Kennwörter mehr falsch sind. Ich sollte das Reporting-Service-Dienstkonto neu konfigurieren.

0
user3296919