web-dev-qa-db-ja.com

Windows 2008 R2 gpupdateがユーザーアカウントをロックする

私は昨年Windows 2008 R2サーバーを構築しました。それ以来、管理者特権のアカウントが1日に10〜12回ロックされています。多くの調査とテストの結果、グループポリシーの更新に失敗するたびに(約90分ごとに)サーバーがアカウントをロックしていることがわかりました。他の誰かがこれを見たことを示す情報をウェブ上で見つけられなかった、そしてそれは私自身信じられないほどであると私は思った。

サーバーに3つのシステムイベントが記録されるたびに:

イベントID 14:Credential Managerに保存されているパスワードが無効です。これは、ユーザーがこのコンピューターまたは別のコンピューターからパスワードを変更したことが原因である可能性があります。このエラーを解決するには、コントロールパネルで資格情報マネージャーを開き、資格情報contoso\meのパスワードを再入力します。

Credential Managerにエントリがありません。これは、Credential Managerサービスを無効にするかどうか、ログオンしているかどうか、ログアウトしてローカル管理者アカウントを使用してプロファイルを削除するかどうかに関係なく発生します。

イベントID 40960:セキュリティシステムは、サーバーcifs/ContosoDC.contoso.comの認証エラーを検出しました。認証プロトコルKerberosからのエラーコードは、「要求された無効なログオン試行またはパスワード変更試行が多すぎるため、ユーザーアカウントは自動的にロックされました。(0xc0000234)」でした。

-

イベントID 1058:

グループポリシーの処理に失敗しました。 Windowsはファイル\ contoso.com\SysVol\contoso.com\Policies {78719F0C-3091-4B5C-9BC3-6498F729531E}\gpt.iniをドメインコントローラーから読み取ろうとしましたが、失敗しました。このイベントが解決されるまで、グループポリシー設定は適用されない場合があります。この問題は一時的なものである可能性があり、次の1つ以上が原因である可能性があります。a)現在のドメインコントローラへの名前解決/ネットワーク接続。 b)ファイル複製サービスの待ち時間(別のドメインコントローラーで作成されたファイルは、現在のドメインコントローラーに複製されていません)。 c)分散ファイルシステム(DFS)クライアントが無効になっています。

アイテムa〜cを確認しましたが、そうではありません。

ユーザーアカウントがロックされていないことを確認し、サーバーでgpupdateを実行してから、すぐにロックされるユーザーアカウントを再確認することで、これを徹底的にテストしました。ロックアウトツールを使用して、すべてのロックアウトがこの特定のサーバーから発生していることを明らかにしました。ユーザーアカウントにはメールアドレスが関連付けられていません。私は、既知のロックアウト問題の通常の配列を広範囲にわたって調査しました。

私のための手がかりはありますか?この運用サーバーを停止し、ADでそのコンピューターオブジェクトをリセットする準備をしていますが、それが役立つことはわかりません。

9

どうやら、表示されない資格情報マネージャーにパスワードが存在する可能性があります。または、引用 このリンク

SYSTEMコンテキストに保存できるパスワードがあり、通常の資格情報マネージャーのビューには表示されません。

http://technet.Microsoft.com/en-us/sysinternals/bb897553.aspx からPsExec.exeをダウンロードし、C:\ Windows\System32にコピーします。

コマンドプロンプトから:psexec -i -s -d cmd.exe

新しいDOSウィンドウから次のコマンドを実行します:rundll32 keymgr.dll,KRShowKeyMgr

保存されているユーザー名とパスワードのリストに表示される項目をすべて削除します。コンピュータを再起動します。

うまくいけば、それで問題が解決します。

8

資格情報マネージャーが役に立たない場合は、テストするGPOなしでOUにシステムを配置してみます。

それでも問題が発生する場合は、デフォルトのドメインGPOに関連しています。GPOドメイン全体に適用されるか、またはGPO関連していません。どちらの方法でも可能です。検索範囲を制限するのに役立ちます。

コマンドプロンプトから、gpupdateを使用して、待機せずに変更をテストし、gpresult/Rを使用して、システムに適用されているGPOを確認します。

GPOがまだ関係していると思われる場合は、WMIフィルターを使用してGPOが適用されないようにします。

また、サイトレベルでGPOが適用されている可能性がありますが、それらはgpresult出力に表示されます。

GPOを減らすことでロックアウトを制限できる場合は、それらを一度に1つずつOUに追加して、原因の一部を見つけます。次に、そのGPO=を調査して、解決策を見つけます。

また、アカウントがロックされたときに確認する項目のリストもここにあります。これは、アカウントの送信元のシステムをすでに知っています。サービススケジュールされたタスクマップされたドライブWebアプリVMコンソールKVMコンソールRDPセッションスクリプトPWヘルパーアプリVPN接続電子メールに接続する他のデバイスリモートデスクトップツール資格情報を実行するアプリケーションマネージャー

1
Jason Landstrom