ローカルADアカウントをロックアウトする顧客のサイトへのVPN
ドメインには、ブルートフォース攻撃を阻止するためだけに導入されたアカウントロックアウトポリシーがあります。 10分間に50回の不正なログオンが試行された後、10分間アカウントがロックアウトされます。
つい最近、ドメインアカウントが定期的にロックアウトされていることに気付きました。そして、 Microsoftアカウントロックアウトツール の助けを借りて、VPN接続を作成するまで追跡することができました。デスクトップPCを顧客のネットワークに接続します。
両方のドメインで使用しているアカウントの名前はまったく同じです。私たちのADはServer2008 R2であり、お客様のADは2003R2です。リモートエンドポイントは、2003R2サーバーによってホストされるPPTPトンネルです。
私たちのネットワークはルーティングされており、顧客ネットワークはフラット/ 24ネットワークです。 VPN接続にIPv4以外のすべてのプロトコルを無効にし(接続したときにのみRDPを使用するため)、「リモートネットワークでデフォルトゲートウェイを使用する」を無効にしました。
いずれかのシステムでアカウントの名前を変更する以外に、これを修正する別の方法はありますか?
デスクトップPCがWindows7にアップグレードされた最近まで、これが問題になることはなかったことに注意してください。
Windows 7は、デフォルトで、VPNが接続された後の後続のすべての認証試行に資格情報を使用するようにL2TPVPN接続を構成します。これは状況によってはうまく機能しますが、現在のコンピューターのドメインメンバーシップと同じログイン/ドメインを共有していないVPNに接続する場合、問題が発生する可能性があります(コンピューターがログインしているアカウントがロックアウトされる原因になります)。
この問題を修正するには、VPN接続情報を保持する.PBKファイルを調整する必要があります。
Windows 7では、ユーザーの.PBKファイルへのパスは次のとおりです(ファイル名は異なる場合があります)。
%APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk
注:このPCでは、%APPDATA%部分がC:\Users\username\AppData\Roamingに設定されています。
rasphone.pbkファイルを開き、次を含む行を見つけます。
UseRasCredentials=1
次のように変更します。
UseRasCredentials=0
ファイルを保存します。
これにより、ローカルドメインのユーザーアカウントをロックアウトする問題を防ぐことができます。
開始する場所は、DCイベントログで、ActiveDirectoryがログイン失敗の理由(および最終的なロックアウト)を示していることを確認します。
これまでのところ、あなたは単に推測しているだけです。
@sebixによって投稿された回答がWindows10(現在はWindows 10バージョン1803を使用)でも機能することを確認できます。