账户被锁定错误

AD账户锁定排错(已解决)

===难题旁白===

反映客户的账户已经被锁定。最初的锁定时间大约是一个小时，但现在已经减少到不到30秒。

===根本原因===

账户被锁定了。

根据powershell的说法，客户在2周前更改了登录密码，这也导致了锁定。

旧的登录密码凭据仍然保存在其他网络服务器或手机客户端，并且尝试了一些实际 *** 作。

客户使用的电脑有病原体或者有人故意尝试登录密码。

只有他一个人被关在这里。他很有可能可以清除病原体。不太可能所有的时间范围都被锁定，仍然可以通过故意尝试来清除。

附件里上传了一个检查账号锁定的专用工具。在DC上安装，输入被锁定账号的用户名和密码，就可以查看客户锁定的信息内容，登录密码的最后修改时间等等。

===恶性事件视图===

默认日志对大家查看客户锁定没有实用价值，需要开通账户登录审批及其账户管理方式审批。

为了在实际运行PDC的服务器上打开DC，Netdomqueryfsmo的这个命令检查PDC服务器在哪个DC中。

1)本地策略和组策略都可以设置，最终结果是打开本地审批对策，设置为地图上的选项。

2)一定要更新组策略，然后应用auditpol/get/category:*查看审批措施是否有效。

3)等待问题再次出现，并检查日志。4740的恶意事件ID是账号锁定的日志。

由此可以看出，客户L70082，锁定的来源是一台名为Admin-pc的电脑，并不是锁定账号登录的电子电脑。

下面的恶性事件ID表示开户和证书认证，如下图所示

开户，恶性事件ID4767，包括管理人员手动开户和锁定时间后自动开户。

客户证书认证，恶性事件ID4776，这个恶性事件和4740很重要，库存问题的关键是收集这两种日志。

===问题库存-库存问题PC===

1)因此，在域OU中搜索这台名为Admin-pc的电子计算机，

2)使用ping命令检查计算机上的IP地址。

3)找互联网相关工作人员检查PC在用什么。通过即时聊天找到单位的工作人员后，我们才开始查问题，没有异常的服务项目和流程，任务计划中也没有与锁定账号相关的日常任务。

打开客户的电子计算机进行本地审批，等待问题再次出现，然后爬取日志。

更新组策略，auditpol/get/category:*检查对策的有效结果。

4)开放登录恶性事件:在这里可以看到除本地用户以外的普通用户是否登录

开放过程跟踪:记录客户电子计算机每次实际 *** 作的开始和结束，申请账户的名称及其启用的文件

但是，结果我没有发现L70082(锁定账号)案件的任何线索。

5)下班后关闭其电子电脑，查看账户是否会继续被锁定。大约30秒，帐户仍然被锁定，源是Admin-pc

6)为了彻底杜绝该电子计算机的行为，将该计算记录更名为企业要求的计算机名称，锁定源为Admin-PC。

===转身===

1)原木不容易说谎。我坚信这一点。在DC上运行以下命令，打开Netlogon调试日志(将记录寻求DC进行身份验证和登录的客户的信息内容)。问题再次出现后，请检查日志。日志路径是:C:\WindowsC:\Windows\debug\netlogon.log

如果有多个DC，请详细检查每个DC的Netlogon日志。

nltest/dbflag:0x2080ffff

网络停止。网络启动Netlogon

在日志中发现一些有价值的案件线索，立即选择日志中锁定的登录名作为搜索信息内容

箭头表示管理员PC已经使用帐户L70082浏览BHAD10的资源。

然后我往下看，看到了一条日志信息。ADMIN-PC用L70082浏览了PRINTERCARD网络服务器。

2)经核实，网络服务器Printercard归管理咨询公司的所有打印服务器所有。怀疑打印机的旧登录密码在使用前一直在进行实际的复印 *** 作，但管理人员坚称这个智能管理系统会自动删除无效的日常复印任务。

3)登录网络服务器Printercard，根据微软公司的软件网络监视器。

下载http://www.microsoft.com/en-us/download/details.aspx?id=4865

安装完成后，请点击“起始页”中的“新建捕获标签”创建新的每日任务；

准备好了，就按页面上的“开始”开始抓取数据信息；

以管理员身份运行以下命令:

ipconfig/flushdns

nbtstat-rr难题再次出现后，按页面上的Stop终止数据包捕获软件。

4)在4)Netlogon日志中看不到IP地址，只能通过捕捉网络上的数据包来找到问题的根源。

我可以看到源IP是10.124.90.199，但是我无法根据ping和telnet指令与这台电子计算机通信。可能是服务器防火墙做了一些设置。这个不用太担心。可能是公司用的中小型网络服务器。

5)然后上面排查，根据互联网表格，发现这个详细地址段是公司文化部的个人申请。客户找了这台电子计算机后，说是一台中小型的网络服务器，对外扩容开放，全部开放了服务器防火墙对策。这也是大家无法浏览的原因，也增加了故障排除的难度系数。

===最后一击===

因为这个电子计算机设计是绝密文件，所以没有办法截屏或者拍照。实际 *** 作很简单。只要看一遍文件，你就明白了。

1)之前的日志信息显示是在联系打印服务器，那么大家接下来的排查思路无疑是从复印入手，在 *** 作面板中寻找复印机的管理方法，然后查看日常复印任务，看到6月份有两个日常复印任务用了7天，是锁定客户修改密码的时间。通常情况下，客户的登录密码没有被复制，因为它在过去被更改过。

2)刚来的时候我也犹豫过。登录密码存储在哪里？哈！自然是在管理办法凭证里。点开Windows管理方法凭证，发现里面确实存储了L70082的帐户名和登录密码。删除后，30分钟内不会再次锁定账户。(以前，但每30秒才一次)

===回答问题===

出现这种情况的原因是，如果这台没有添加域的电子计算机想要打印文件，它必须输入一个具有管理权限的域帐户。L70082将自己的客户登录密码存储在电子计算机Admin-pc的Windows凭证中，使Admin-PC的客户进行日常复印任务变得方便快捷。L70082修改密码后，Admin-PC无法复制，因为账户登录密码L70082存在于管理方法证书中，所以日常复制任务会反复尝试，这种情况不会被管理方法打印服务器评定为废复制。

===摘要===

所以咨询了微软公司的技术工程师，发现锁账号的问题并不是抓包这种软件能解决的。解决方案如下:

1)打开审批日志，实际信息内容在原文中有提及。

2)根据恶性事件ID4740和4776找到锁定源

3)打开登录恶性事件的审批日志，对锁定的源进行流程跟踪。

4)很明显，DC和手机客户端的时间是一样的。例如，在检查DC的4740日志时，发现客户端在10:55:23被锁定。

可以在手机客户端搜索相同恶性事件的日志，看看当时运行的是什么进程。就能准确找到问题的根源！

当出现我提到的这种特殊情况时，抢包的软件就是最好的解决方案！