none
AD账号频繁的登录失败导致被锁定 RRS feed

  • 问题

  • 尊敬的工程师您好

    公司一员工账号频繁被验证错误,导致一直被锁定。每分钟尝试登录失败上千次。、在exchange邮件服务器和DC上有大量的凭据验证失败,在日志中无法看到源工作站和源IP

    请问工程师如何可以查到账号尝试登录的源IP


    Tiger.Chen


    2019年3月26日 10:04

答案

  • 您好,

    感谢您的发帖。

    请您在每台DCdefault domain policy上开启审核策略。

    路径:路径:计算机配置\ Windows设置\安全设置\本地策略\审核策略

    策略:审核帐户登录事件 - 失败

    审计账户管理 - 成功与失败

    完成这些更改后,请在所有DC上运行Gpupdate / force以刷新策略,然后键入命令auditpol /get /category*以检查所有审核是否已启用。

    要查看失败的请求详细信息,请在PDC上使用以下命令启用NetLogon日志记录。

    nltest /dbflag0x2080ffff

    当再次出现此问题时,我们可以使用以下命令禁用NetLogon Loggingnltest / dbflag0x0

    SDP报告将收集netlogon调试日志并上传它。

    有关为Netlogon服务启用调试日志记录的详细信息,请参阅下面的链接

    https://support.microsoft.com/en-sg/help/109626/enabling-debug-logging-for-the-netlogon-service

    感谢您的理解和支持。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年3月27日 7:23
    版主

全部回复

  • 您好,

    感谢您的发帖。

    请您在每台DCdefault domain policy上开启审核策略。

    路径:路径:计算机配置\ Windows设置\安全设置\本地策略\审核策略

    策略:审核帐户登录事件 - 失败

    审计账户管理 - 成功与失败

    完成这些更改后,请在所有DC上运行Gpupdate / force以刷新策略,然后键入命令auditpol /get /category*以检查所有审核是否已启用。

    要查看失败的请求详细信息,请在PDC上使用以下命令启用NetLogon日志记录。

    nltest /dbflag0x2080ffff

    当再次出现此问题时,我们可以使用以下命令禁用NetLogon Loggingnltest / dbflag0x0

    SDP报告将收集netlogon调试日志并上传它。

    有关为Netlogon服务启用调试日志记录的详细信息,请参阅下面的链接

    https://support.microsoft.com/en-sg/help/109626/enabling-debug-logging-for-the-netlogon-service

    感谢您的理解和支持。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年3月27日 7:23
    版主
  • 您好,

    您的问题解决了吗?

    如果您使用我们的解决方案解决了问题,请“标记为答案”以帮助其他社区成员快速找到有用的回复。

    如果您使用自己的解决方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员来说,这将非常有益。

    如果不是,请回复并告诉我们当前的情况,以便提供进一步的帮助。

    Best Regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年3月29日 8:44
    版主
  • 您好,

    只需检查以查看此问题的状态。如果您需要进一步的帮助,请告诉我们。

    Best Regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年4月4日 8:36
    版主