web-dev-qa-db-ja.com

ドメインアカウントが数分ごとに正しいパスワードでロックアウトし続ける

アカウントが30分ごとにロックアウトしているユーザーがいます。すべてのチェックを完了し、キャッシュパスワードを削除し、新しいプロファイルを作成し、IEからパスワードを削除します。

ユーザーがアカウントを使用している場合でもログインします(ログインしています)

20台のサーバーを確認した後、それらがサービスを実行していることがわかりました。そのため、彼のアカウントがロックされたと思います。

675,AUDIT FAILURE,Security,Thu Dec 16 07:54:04 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  userid     User ID:  %{id}     Service Name:  krbtgt/DOMAIN     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  IP address    

誰もこれが何であるか知っていますか。

krbtgt/DOMAIN     
Key Distribution Center Service Account

なぜこれが起こっているのか、どうすれば修正できるのかを説明してもらえますか?.

675,AUDIT FAILURE,Security,Fri Dec 24 09:13:01 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  172.16.5.1    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  172.16.5.102    
644,AUDIT SUCCESS,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,User Account Locked Out:     Target Account Name: user_id    Target Account ID: %{id}     Caller Machine Name: UKNML3266     Caller User Name: LONDON$     Caller Domain: Domain     Caller Logon ID: (0x0,0x3E7)    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.102    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.102    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
c:\sc0472\LONDON-Security_LOG.txt contains 8 parsed events.
11
SameasBefore

http://social.technet.Microsoft.com/Forums/en/w7itprosecurity/thread/e1ef04fa-6aea-47fe-9392-45929239bd68 からこのソリューションをお試しください

Microsoftサポートが問題を発見しました。 Windows 7コンピューターの起動時に、ドメインアカウントがロックされていました。 Windows 7コンピューターには、そのドメインアカウントの古いパスワードが隠されていました。 SYSTEMコンテキストに保存できるパスワードがありますが、これは通常のCredential Managerビューには表示されません。

http://technet.Microsoft.com/en-us/sysinternals/bb897553.aspx からPsExec.exeをダウンロードし、C:\Windows\System32にコピーします。

コマンドプロンプトから:psexec -i -s -d cmd.exe

新しいDOSウィンドウから次を実行します。rundll32 keymgr.dll,KRShowKeyMgr

保存されているユーザー名とパスワードのリストに表示されているアイテムを削除します。コンピューターを再起動します。

12
Puzzled

これは、Windowsの深刻な欠陥を浮き彫りにしていると思います。 WindowsサービスとWebサイトで構成されるシステムに使用する(技術的な)ユーザーアカウントがあり、このユーザーとして実行するようにアプリプールが構成されています。

当社には、5つの不正なパスワードの後に​​アカウントをロックアウトするというセキュリティポリシーがあります。

アカウントをロックアウトするものを見つけることは、企業では実際に不可能です。アカウントがロックアウトされると、ADサーバーはロックアウトの原因となったプロセスとサーバーからログを記録する必要があります。

私はそれを調べましたが(ツールをロックアウトします)、これは行いません。可能なものはツールだけですが、サーバー上で実行し、プロセスがそれを実行しているかどうかを確認するまで待つ必要があります。しかし、数千台のサーバーを備えた企業では不可能です。推測する必要があります。それはクレイジーです。

6
JML

同様の問題が発生しました。ユーザーが金曜日と週末にパスワードをリセットし、月曜日にロックアウトされ続けたようです。

彼は携帯電話でパスワードを更新するのを忘れていたことが判明しました。

4
Bonez

ダウンロード MicrosoftアカウントロックアウトツールLockoutStatusを使用して、問題のあるユーザーを事前認証しなかった最後のDCを見つけます。日付と時刻をメモします。そのDCにログインし、その時間枠を見つけて確認しますクライアントアドレス:それらのサーバーからログオフします。

1
camelin0

すべてのサーバーのクロックが正しいことを確認する必要があります。 Kerberosエラーは通常、サーバーのクロックがドメインと同期していないために発生します。

更新

失敗コード0x12は、特に「クライアント資格情報が取り消された」ことを意味します。つまり、アカウントが無効化、期限切れ、またはロックアウトされると、このエラーが発生します。

アカウントがアクティブであると思われる場合は、以前のエラーメッセージを試して見つけると便利です。つまり、このエラーメッセージが根本的な原因ではない可能性があります。

理想的には、完全な回答を得るには、アカウントを再度アクティブにし、0x12エラーメッセージの前に発生したエラーのログを監視する必要があります。

1
Fenton

CONFLICKERという名前のウイルスである可能性があります。マシン上のsymantecのd.exeツールを試して、問題が解決されることを願ってください。このウイルスは不正なパスワードを作成し、ユーザーをロックするため、ドメインコントローラーのセキュリティログを確認し、それらのコンピューターをスキャンします。

1
Ansi

ユーザーが自分のアカウントで実行するようにスケジュールされたタスクを設定したときに、この問題が発生しました。彼は、アカウントのパスワードを変更した後、タスクのパスワードを更新するのを忘れました。スケジュールされたタスクは、古いパスワードでログオンしようとして、アカウントをロックアウトし続けていました。

1
Eric A. Laney

コンピューターがドメイン上にある場合、Windows Password Rescuer Advancedを見ることができます http://www.daossoft.com/documents/how-to-reset-windows-domian-account-password.html

0
syonxu

最後に、問題が見つかりました。 SQL Reporting Serviceがアカウントロックアウトを引き起こしていました。停止して再試行します。パスワードが間違っていないことを確認したら、Report Servicesサービスアカウントを再構成する必要があります。サービスプロパティではなく、Reporting Service独自の構成です。

0
user3296919