web-dev-qa-db-ja.com

Windows 7クライアント、2003サーバー、ユーザーアカウントが繰り返し繰り返しロックアウトされた

私はWindows7ラップトップ(ドメインメンバー)を持っており、VPNをオフィスに接続すると、5〜10分以内に、メインファイルサーバー/ドメインコントローラーがユーザーアカウントのログオンの失敗を報告し、次に3、次に5、次にユーザーアカウントのロック。

追加のソフトウェアが実行されていない場合に発生するため、たとえばOutlookの問題ではありません。

コントロールパネルを使用して、Windowsと.Netのパスワードキャッシュをクリアしました。マップされたプリンターはなく、マップされたドライブはありますが、動作しているように見えます。また、頻繁に実行されるスケジュールされたタスクはありません。ユーザーのパスワードをリセットし、新しいパスワードをラップトップに置きました。

ラップトップにWiresharkも配置しましたが、表示されるのはVPNを通過する「暗号化されたトラフィック」だけです。

友人は、Windows7とWindows2003Serverに問題があると言っています。ホットフィックスが必要なLMハッシュ設定を使用します。彼はかなり漠然としていて、これが起こらないWindows7の別のユーザーがいます。

私の疑いは、サードパーティがインストールしたプログラムではなく、Windowsがこれを行っているということです。しかし、どうすればこれをさらに掘り下げて、原因を見つけることができますか?

****更新:マップされたドライブを切断しましたが、問題は引き続き発生しました-VPNをオフィスに接続してから2分以内に4回のログイン失敗。

サーバーのイベントログには、ソース:セキュリティ、カテゴリ:アカウントログオン、ID 675、事前認証に失敗したことが表示されます。ユーザー名:(コンピューター名)$、サービス名:krbtgt/domain.fqdn.example.org、障害コード:0x19

続いてイベントセキュリティ/ 680 /アカウントログオン、Microsoft_AUTHENTICATION_PACKAGE_V1_0 /エラーコード:0xC000006Aアカウントログオフ/不明なユーザー名または不正なパスワード(両方とも4回繰り返す)

更新

私はそれを持っていると思います-VPNユーザー名はWindowsアカウントのユーザー名と同じですが、パスワードは異なります(VPNはWindowsサーバーではなくファイアウォールに接続するため)が、ネットワークリソースにアクセスするとき、WindowsはVPNを試しているようです最初に資格情報-アカウント名が同じであるため、パスワードの失敗によりWindowsアカウントがロックされます。

VPNが別のユーザー名を使用するように変更しました。数分のテストで、少なくとも回避できるようです。

(Windows 7 PPTP)VPNがこのように動作する理由を誰かが知っていて、それを停止する公式の方法があるかどうかに興味があります。

3

私の最後の更新として-私はそれを持っていると思います-VPNユーザー名はWindowsアカウントのユーザー名と同じですが、パスワードは異なります(VPNはWindowsサーバーではなくファイアウォールに接続するため)、しかしネットワークリソースにアクセスするときWindowsは最初にVPN資格情報を試す-アカウント名が同じであるため、パスワードの失敗によりWindowsアカウントがロックされます。

VPNが別のユーザー名を使用するように変更しました。数分のテストで、少なくとも回避できるようです。

1

誰かが同じADアカウントを使用して別のシステムにログインしたままになっていると、これが発生するのを見てきました。そのような例の1つで、ここで大変な時間を過ごしました。最終的に、ドメインコントローラーのセキュリティログを調べて、ユーザーがログインしたままになっている場所を特定しました。どこにログインしているかがわかると、ユーザーはログアウトし、すべてが正常に戻りました。

Win 7/Server2003の問題について聞いたことがありません。私は定期的にWin7マシンを使用して、40台以上のServer2003および2008ボックスを管理しています。しかし、これが原因ではないというわけではありません。

また、VPN接続が不安定で、ユーザーが資格情報を保存している場合、接続が切断されるたびに認証を試みることがあります。これにより、このような状況が発生する可能性があります。

幸運を :)

2
Dennis

デニスは良い点を挙げています。これが発生するもう1つの方法は、資格情報が付与されたサービスとしてサードパーティのアプリケーションまたは何か(サードパーティかどうかに関係なく)がインストールされており、それらを繰り返し使用して何かに接続しようとしていることです。

2
Rob Moir

ステーションがログインを試み、サーバーが相互に同意できる暗号化設定に到達できない場合、またはさらに悪いことに、別の設定にフォールバックする前に誤って同意した場合(したがって、ログイン失敗が発生した場合)、Windowsは失敗したログインを記録することがあります。

デフォルトでは、Windows7は「NTLMv2応答のみを送信する」に設定されています。 Server 2003サーバーは、「LMとNTLMを送信する-ネゴシエートされた場合はNTLMv2セッションセキュリティを使用する」に設定できます。プロトコルネゴシエーションのバグにより、発生しているログインエラーが発生する可能性があります。あなたの友人が言及した修正プログラムはおそらくこれです:

http://support.Microsoft.com/kb/893318

回避策として(そしておそらく他のWin7マシンが機能している理由)、ローカルセキュリティポリシーを変更して回避することができます。

「ローカルセキュリティポリシー」を検索します。コントロールパネルのadmin-toolsにもあります。それを開く。

[ローカルポリシー]-> [セキュリティオプション]に移動します。

リストには「ネットワークセキュリティ:LANManager認証レベル」が表示されます。

おそらく「NTLMv2応答のみを送信する」に設定されます。 「LMとNTLMを送信する-ネゴシエートされた場合はNTLMv2セッションセキュリティを使用する」に変更します。

Microsoftがこれのデフォルトを変更したのには十分な理由があるため、VPNサーバーが更新されたら、元に戻す必要があります。

0
sysadmin1138