积极答复者
域控制器记录安全日志审核失败 域账户锁定问题

问题
-
域账户经常被锁定,在windows 2008域控制器安全日志里有很多事件ID 4769 审核失败的记录,但是根据记录登录客户端服务器全盘查杀病毒,并未扫描出威胁。请各位帮忙分析一下原因。操作系统全部是windows server2008
经过观察登录GUID全部一样: {00000000-0000-0000-0000-000000000000}
日志名称: Security
来源: Microsoft-Windows-Security-Auditing
事件 ID: 4769
任务类别: Kerberos 服务票证操作
级别: 信息
关键字: 审核失败
用户: 暂缺
计算机: idc001.idc.abc.om
描述:
已请求 Kerberos 服务票证。
帐户信息:
帐户名: IDC003$@idc.abc.om
帐户域: idc.abc.om
登录 GUID: {00000000-0000-0000-0000-000000000000}
服务信息:
服务名称: krbtgt/idc.abc.om
服务 ID: NULL SID
网络信息:
客户端地址: ::ffff:1.1.0.1
客户端端口: 65374
附加信息:
票证选项: 0x60810010
票证加密类型: 0xffffffff
故障代码:
答案
-
您好!
由于造成帐号锁定的原因较多,建议您尝试以下操作:
1. 由于病毒的原因,可能会造成帐号被锁定的现象。建议登陆到经常使用该锁定帐号的计算机上,尝试下面的在线扫描网站进行杀毒:
Trend
http://www.housecall.antivirus.com
MacAfee:
http://www.mcafee.com2. 请您检查是否针对该帐号设置了帐号锁定策略。具体的设置步骤如下:
a. 登陆到域控制,打开包含该帐号的OU。
b. 选择“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→检查是否设置了“帐户锁定策略”。
3. 请您登陆到微软网站,更新系统补丁。
4. 为该帐户设置一个符合复杂性原则的密码,查看问题是否依然存在。
5. 您可以下载Account Lockout and Management Tools工具,使用Acctinfo.dll以解决账户锁定的问题。在执行ALTools.exe文件后,解压到某一文件夹后就可以使用了。具体的下载地址如下:
6. 如果以上步骤未能找出问题所在,请检查与帐户锁定相关的系统日志和应用程序日志,把错误事件的具体信息贴到论坛中来,包括事件ID、事件类型和事件描述。
更多信息您可以参考以下文章:
Troubleshooting account lockout problems in Windows Server 2003, in Windows 2000, and in Windows NT 4.0
http://support.microsoft.com/default.aspx?scid=kb;EN-US;315585
User accounts are unexpectedly locked, and event ID 12294 is logged in Windows Server 2003
http://support.microsoft.com/default.aspx?scid=kb;EN-US;887433
希望我的回答对您有所帮助,如果有什么不清楚的地方,请您告诉我。
如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
立刻免费下载 TechNet 论坛好帮手
- 已标记为答案 Tom Zhang – MSFTModerator 2012年10月24日 1:06
全部回复
-
看起来你是要分析 “账户锁定问题” 。。。
我来理一下思路:
1. 根据被锁定的账号名及时间段,搜寻EventLog中与之有关的审核失败事件,且,只有包含尝试验证的Client IP及带有这个被锁定帐号名的事件,对分析才是有意义的。
2. 当你怀疑某个或多个客户端IP后,你不该简单杀毒,不是只有病毒才能反复探测密码,一个简单的循环net use批处理,或者一个以某域用户身份启动的service配错了密码且设置为失败后不停重启,都能造成反复的失败的验证,把对应的账户锁住。比较恰当的做法是:在可疑客户端上,用netmon抓包,确认是否有发向域控的频繁请求,及其进程名。
- 已编辑 Finy 2012年10月17日 9:21
-
您好!
由于造成帐号锁定的原因较多,建议您尝试以下操作:
1. 由于病毒的原因,可能会造成帐号被锁定的现象。建议登陆到经常使用该锁定帐号的计算机上,尝试下面的在线扫描网站进行杀毒:
Trend
http://www.housecall.antivirus.com
MacAfee:
http://www.mcafee.com2. 请您检查是否针对该帐号设置了帐号锁定策略。具体的设置步骤如下:
a. 登陆到域控制,打开包含该帐号的OU。
b. 选择“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→检查是否设置了“帐户锁定策略”。
3. 请您登陆到微软网站,更新系统补丁。
4. 为该帐户设置一个符合复杂性原则的密码,查看问题是否依然存在。
5. 您可以下载Account Lockout and Management Tools工具,使用Acctinfo.dll以解决账户锁定的问题。在执行ALTools.exe文件后,解压到某一文件夹后就可以使用了。具体的下载地址如下:
6. 如果以上步骤未能找出问题所在,请检查与帐户锁定相关的系统日志和应用程序日志,把错误事件的具体信息贴到论坛中来,包括事件ID、事件类型和事件描述。
更多信息您可以参考以下文章:
Troubleshooting account lockout problems in Windows Server 2003, in Windows 2000, and in Windows NT 4.0
http://support.microsoft.com/default.aspx?scid=kb;EN-US;315585
User accounts are unexpectedly locked, and event ID 12294 is logged in Windows Server 2003
http://support.microsoft.com/default.aspx?scid=kb;EN-US;887433
希望我的回答对您有所帮助,如果有什么不清楚的地方,请您告诉我。
如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
立刻免费下载 TechNet 论坛好帮手
- 已标记为答案 Tom Zhang – MSFTModerator 2012年10月24日 1:06