none
域控制器记录安全日志审核失败 域账户锁定问题 RRS feed

  • 问题

  • 域账户经常被锁定,在windows 2008域控制器安全日志里有很多事件ID 4769 审核失败的记录,但是根据记录登录客户端服务器全盘查杀病毒,并未扫描出威胁。请各位帮忙分析一下原因。操作系统全部是windows server2008

    经过观察登录GUID全部一样: {00000000-0000-0000-0000-000000000000}


    日志名称:          Security
    来源:            Microsoft-Windows-Security-Auditing
    事件 ID:         4769
    任务类别:          Kerberos 服务票证操作
    级别:            信息
    关键字:           审核失败
    用户:            暂缺
    计算机:           idc001.idc.abc.om
    描述:
    已请求 Kerberos 服务票证。
    帐户信息:
            帐户名:                IDC003$@idc.abc.om
            帐户域:                idc.abc.om
            登录 GUID:                {00000000-0000-0000-0000-000000000000}
    服务信息:
            服务名称:                krbtgt/idc.abc.om
            服务 ID:                NULL SID

    网络信息:
            客户端地址:                ::ffff:1.1.0.1
            客户端端口:                65374

    附加信息:
            票证选项:                0x60810010
            票证加密类型:        0xffffffff
            故障代码:

    2012年10月17日 8:31

答案

  • 您好! 

    由于造成帐号锁定的原因较多,建议您尝试以下操作:

    1. 由于病毒的原因,可能会造成帐号被锁定的现象。建议登陆到经常使用该锁定帐号的计算机上,尝试下面的在线扫描网站进行杀毒:
    Trend
    http://www.housecall.antivirus.com
    MacAfee:
    http://www.mcafee.com

    2. 请您检查是否针对该帐号设置了帐号锁定策略。具体的设置步骤如下:

    a. 登陆到域控制,打开包含该帐号的OU

    b. 选择计算机配置”→“Windows设置”→“安全设置”→“账户策略”→检查是否设置了帐户锁定策略

    3. 请您登陆到微软网站,更新系统补丁。

    4. 为该帐户设置一个符合复杂性原则的密码,查看问题是否依然存在。

    5. 您可以下载Account Lockout and Management Tools工具,使用Acctinfo.dll以解决账户锁定的问题。在执行ALTools.exe文件后,解压到某一文件夹后就可以使用了。具体的下载地址如下:

    http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

    6. 如果以上步骤未能找出问题所在,请检查与帐户锁定相关的系统日志和应用程序日志,把错误事件的具体信息贴到论坛中来,包括事件ID、事件类型和事件描述。

    更多信息您可以参考以下文章:

    Troubleshooting account lockout problems in Windows Server 2003, in Windows 2000, and in Windows NT 4.0

    http://support.microsoft.com/default.aspx?scid=kb;EN-US;315585

    User accounts are unexpectedly locked, and event ID 12294 is logged in Windows Server 2003

    http://support.microsoft.com/default.aspx?scid=kb;EN-US;887433

    希望我的回答对您有所帮助,如果有什么不清楚的地方,请您告诉我。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年10月18日 8:35
    版主

全部回复

  • 你是要分析 “域账户被锁定” 还是 你的这条Eventlog的意义?两者未必是一件事哦。
    2012年10月17日 8:35
  • 分析的有道理,我看到事件ID 4769审核失败的记录比较多

    我用ALTools工具锁定时间和锁定服务器查看到如下日志,根据记录登录客户端服务器全盘查杀病毒,并未扫描出威胁(使用诺顿 病毒库已经升至最新)。

    日志名称:          Security
    来源:            Microsoft-Windows-Security-Auditing
    事件 ID:         4771
    任务类别:          Kerberos 身份验证服务
    级别:            信息
    关键字:           审核失败
    用户:            暂缺
    计算机:           idc001.idc.abc.com
    描述:
    Kerberos 预身份验证失败。

    2012年10月17日 9:12
  • 看起来你是要分析 “账户锁定问题” 。。。

    我来理一下思路:

    1. 根据被锁定的账号名及时间段,搜寻EventLog中与之有关的审核失败事件,且,只有包含尝试验证的Client IP及带有这个被锁定帐号名的事件,对分析才是有意义的。

    2. 当你怀疑某个或多个客户端IP后,你不该简单杀毒,不是只有病毒才能反复探测密码,一个简单的循环net use批处理,或者一个以某域用户身份启动的service配错了密码且设置为失败后不停重启,都能造成反复的失败的验证,把对应的账户锁住。比较恰当的做法是:在可疑客户端上,用netmon抓包,确认是否有发向域控的频繁请求,及其进程名。



    • 已编辑 Finy 2012年10月17日 9:21
    2012年10月17日 9:20
  • 批处理计划任务等密码缓存问题都已经排除,事件 ID:   4769 审核失败 几乎包括所以域账户,而且我帖子里最上面贴的日志中账户名IDC003 活动目录中并没有此账户,IDC003是一台服务器,所以怀疑是病毒,看来要试试抓包了。谢谢兄弟的耐心解答。

    帐户信息:
            帐户名:                IDC003$@idc.abc.om
            帐户域:                idc.abc.om
            登录 GUID:                {00000000-0000-0000-0000-000000000000}

    2012年10月17日 10:21
  • 知道是从哪台机器上被锁的吗?
    2012年10月18日 1:59
  • 您好! 

    由于造成帐号锁定的原因较多,建议您尝试以下操作:

    1. 由于病毒的原因,可能会造成帐号被锁定的现象。建议登陆到经常使用该锁定帐号的计算机上,尝试下面的在线扫描网站进行杀毒:
    Trend
    http://www.housecall.antivirus.com
    MacAfee:
    http://www.mcafee.com

    2. 请您检查是否针对该帐号设置了帐号锁定策略。具体的设置步骤如下:

    a. 登陆到域控制,打开包含该帐号的OU

    b. 选择计算机配置”→“Windows设置”→“安全设置”→“账户策略”→检查是否设置了帐户锁定策略

    3. 请您登陆到微软网站,更新系统补丁。

    4. 为该帐户设置一个符合复杂性原则的密码,查看问题是否依然存在。

    5. 您可以下载Account Lockout and Management Tools工具,使用Acctinfo.dll以解决账户锁定的问题。在执行ALTools.exe文件后,解压到某一文件夹后就可以使用了。具体的下载地址如下:

    http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

    6. 如果以上步骤未能找出问题所在,请检查与帐户锁定相关的系统日志和应用程序日志,把错误事件的具体信息贴到论坛中来,包括事件ID、事件类型和事件描述。

    更多信息您可以参考以下文章:

    Troubleshooting account lockout problems in Windows Server 2003, in Windows 2000, and in Windows NT 4.0

    http://support.microsoft.com/default.aspx?scid=kb;EN-US;315585

    User accounts are unexpectedly locked, and event ID 12294 is logged in Windows Server 2003

    http://support.microsoft.com/default.aspx?scid=kb;EN-US;887433

    希望我的回答对您有所帮助,如果有什么不清楚的地方,请您告诉我。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年10月18日 8:35
    版主