none
AD用户被频繁锁定 RRS feed

  • 问题

  • 你好:

    我公司部分域用户频繁账号被锁定。我使用lockoutstatus工具查看在这台服务器上Orig Lock :PSGHLNTS002,。然后我在PSGHLNTS002服务器上查看事件日志,发现审核失败的日志信息显示账号是在[10.66.0.148]这台设备上验证失败。这台服务器是我们的外网邮件服务器。从这台服务器上查看审核失败日志如下:

    帐户登录失败。

    主题:
            安全 ID:                NETWORK SERVICE
            帐户名:                TMG01$
            帐户域:                IROOTECH
            登录 ID:                0x3e4

    登录类型:                        3

    登录失败的帐户:
            安全 ID:                NULL SID
            帐户名:                zhiyuan.此处省略@此处省略
            帐户域:                irootech.com

    失败信息:
            失败原因:                未知用户名或密码错误。
            状态:                        0xc000006d
            子状态:                0xc000006a

    进程信息:
            调用方进程 ID:        0x1084
            调用方进程名:        C:\Program Files\Microsoft Forefront Threat Management Gateway\wspsrv.exe

    网络信息:
            工作站名:        TMG01
            源网络地址:        -
            源端口:                -

    详细身份验证信息:
            登录进程:                Advapi  
            身份验证数据包:        Negotiate
            传递服务:        -
            数据包名(仅限 NTLM):        -
            密钥长度:                0

    登录请求失败时在尝试访问的计算机上生成此事件。

    “主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

    “登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

    “进程信息”字段表明系统上的哪个帐户和进程请求了登录。

    “网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

    “身份验证信息”字段提供关于此特定登录请求的详细信息。
            -“传递服务”指明哪些直接服务参与了此登录请求。
            -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。

    以下是AD服务器的审核失败日志:请参考

    Event ID:4771    logged:7/15/2020 6:51:21PM

    Kerberos pre-authentication failed.

    Account Information:
    Security ID:  IROOTECH\zhiyuan.
    此处省略
    Account Name:  zhiyuan.此处省略

    Service Information:
    Service Name:  krbtgt/IROOTECH.COM

    Network Information:
    Client Address: ::ffff:10.66.0.148
    Client Port:  14185

    Additional Information:
    Ticket Options: 0x40810010
    Failure Code:  0x18
    Pre-Authentication Type: 2

    Certificate Information:
    Certificate Issuer Name:
    Certificate Serial Number: 
    Certificate Thumbprint:

    Certificate information is only provided if a certificate was used for pre-authentication.

    Pre-authentication types, ticket options and failure codes are defined in RFC 4120.

    If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.


    • 已编辑 byst 2020年7月20日 3:51
    2020年7月20日 3:48

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您的描述,您在域控制上看到4771和4740的事件。

    这个账号(IROOTECH\zhiyuan.此处省略)在域控制器上(PSGHLNTS002)显示:由TMG01传到外网邮件服务器(10.66.0.148)

    用户登录的客户端->经过一个或者多个中间设备的转发->TMG01->外网邮件服务器(10.66.0.148)->域控制器。

    那么我们现在需要在TMG01上寻找这个账号从哪里转发到TMG01,这样循环下去,直到找到这个账号是在哪个机器上的什么程序在尝试登录。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月20日 8:16
    版主
  •  

    你好,以下就是10.66.0.148 (外网邮件服务器)上的的安全审核失败日志,这该如何定位?我查了近期被锁定的账号有6个,目前基本都是这6个账号被频繁锁定,最终指定锁定进程都是wspsrv.exe.  而且通过日志查看,在同一时间还有固定的几个用户同时通过0.148访问wspsrv.exe。但是他们没有被锁定。

    进程信息:
            调用方进程 ID:        0x1084
            调用方进程名:        C:\Program Files\Microsoft Forefront Threat Management Gateway\wspsrv.exe

    安全 ID:                NETWORK SERVICE
            帐户名:                TMG01$
            帐户域:                IROOTECH
            登录 ID:                0x3e4

    登录类型:                        3

    登录失败的帐户:
            安全 ID:                NULL SID
            帐户名:                zhiyuan.此处省略@此处省略
            帐户域:                irootech.com

    失败信息:
            失败原因:                未知用户名或密码错误。
            状态:                        0xc000006d
            子状态:                0xc000006a

    进程信息:
            调用方进程 ID:        0x1084
            调用方进程名:        C:\Program Files\Microsoft Forefront Threat Management Gateway\wspsrv.exe

    2020年7月22日 11:01
  • 尊敬的客户,您好!

    感谢您的回复。

    请问这个进程wspsrv.exe是与Exchange有关的进程吗?我们不太了解这个进程。

    我们有专门的这个Forefront TMG论坛,建议在这个论坛上发帖,咨询并排查wspsrv.exe进程频繁锁定账号的问题。

    Forefront TMG and ISA Server

    https://social.technet.microsoft.com/Forums/forefront/en-US/home?forum=Forefrontedgegeneral&sort=lastpostdesc&brandIgnore=true&page=3

    感谢您的理解和支持。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月24日 5:42
    版主