お客様はW10ラップトップを持っています。ラップトップはMyDomainのメンバーです。ユーザーは、ラップトップに20台のネットワークドライブをマッピングしています。サーバーはW2016ドメインコントローラーです。
ユーザーは自分のローカルアカウントを使用して自分のラップトップにログインします。彼が午前中にオフィスに到着したとき、彼のすべてのネットワークドライブは再接続されていません。
「ユーザーアカウントがロックされているため、ドライブを再接続できませんでした」というエラーメッセージが表示されます。
実際、W2016セキュリティログには、5回のログオン試行の失敗があります。その後、アカウントは30分間ロックされます。 30分後、ユーザーがマップされたネットワークドライブ(赤い十字がある)をクリックすると、マップされたドライブは問題なく再接続します。
ネットワークドライブに接続するためのユーザーの資格情報はlocal-computer\usernameです。 notMyDomain\usernameです。 PowerShellでgwmiコマンドを使用してこれを確認しました。
後者は驚くべきことです。ローカル資格情報を使用してドメイン共有に接続できることすら知りませんでした。しかし、テストドメインの他のテストでこれが確認されました。ドメイン内で認識されている必要があるのは、ユーザー名のみです。
私が理解していないのは、ネットワークドライブを最初に接続しようとすると認証が失敗する理由です。そして後で認証は成功します。とにかくアカウントが30分間ロックされたままなので、どれくらい後にかわかりません。
ネットワークがUPになるまで再接続を遅らせる必要があることは問題ではありません。サーバーが認証の失敗を示しているため、稼働しています。
次のアプローチは、ドライブを接続するための資格情報をlocal-computer\userではなくMyDomain\userに変更することです。
それが最もエレガントなソリューションです。それでも問題が解決しない場合は、接続を非永続化し、手動で実行されるバッチファイルを作成します。しかし、それはそれほどエレガントではありません。
ドメインにユーザーがログオンする必要はありません。まず、彼はかなりの時間オフィスを離れることができ、キャッシュされた認証に依存する必要があります。次に、彼の現在のユーザープロファイルは50 GBであり、ドメインにログオンすると別のプロファイルが作成されます。それを転送するのはピタです。
最初の認証の試行が失敗する理由について何か考えはありますか?彼らが後で成功することを知っていますか?
ローカル資格情報を使用してリモートに接続しているとは思いませんが、おそらく資格情報をリモートサーバーに送信します。 Windowsは最初に、現在ログオンしているユーザー名とパスワードをリモートサーバーに対して試行します。
したがって、ユーザー名とパスワードはローカルマシンとドメインで同じであると思います。
ロックされたアカウントの場合、これはおそらく、キャッシュされた古い、無効になったパスワードが原因です。ラップトップでNet Use * /d
を使用してこれをクリアできます。すべての接続が削除されることに注意してください...
ドメインコントローラーのセキュリティイベントログを確認することで、ロックアウトの原因を確認できます。 LockedOutStatus ツールは、ロックアウトが発生したドメインコントローラーと正確な時刻を見つけるのに特に役立ちます(ログに1秒あたり50以上のセキュリティイベントがあることがわかっているので、次のことを行う必要があります。ロックアウトの正確な秒を知っています)。