none
咨询Exchange 2013 CAS服务器上出现大量的4625日志事件,并且该账号频繁出现账号锁定 RRS feed

答案

全部回复

  • 您好:

    请问您当前的Exchange 2013 CU版本是什么?

    根据上面提供的日志信息,如果在帐户已被锁定时帐户登录尝试失败,则会生成此事件。

    状态0xC000006D表示这是由于用户名错误或身份验证信息引起的。

    子状态0xC0000064表示用户使用拼写错误或错误的用户帐户登录。

    关于这些状态码与事件4625的更多信息可查看官方文档:4625 (F) :帐户无法登录。

    通常,我们通过工作站名和源网络地址来识别失败的登录尝试,如果它们为空,则可以考虑使用网络抓包工具来获取信息。根据事件日志的时间查找尝试登录程序包的特定日志,分析该程序包,来找到更多详细信息。 

    另外请检查您的imap日志是否开启(默认不开启),如果返回值为false,请使用第二条命令行开启

    Get-ImapSettings | fl ProtocolLogEnabled
    
    Set-ImapSettings -ProtocolLogEnabled $true
    
    

    路径: \Microsoft\Exchange Server\V15\Logging\Imap4

    然后我们可以通过日志找出哪个客户端尝试多次登录

    最后您也可以查看以下类似案例是否对您有帮助:Security Events because of account lockout - How to find out where it is originating?

    此致,

    Joyce Shen


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年9月29日 2:45
  • 1、Exchange 2013 CU10

    2、imap日志已开启,记录有大量的拒绝登录的事件

    3、为什么会出现这么多认证失败事件,是否该动作导致账号锁定?

    2020年9月29日 10:23
  • 您好:

    仅从您上面提供的截图无法判断是哪台客户端或进程登录该账户,只能看到认证失败的信息。您可将完整的信息提供于此(请注意隐藏您的个人信息)

    或者您还可以查看IIS日志,看是否提供了IP地址或设备类型等信息。

    此致,

    Joyce Shen


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年9月30日 8:06
  • 您好,

    请问以上建议是否有效?

    如果以上建议有效,请在空闲的时候标记它为答案以帮助更多的用户。

    此致,

    Joyce Shen


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年10月7日 1:01
  • 由于其中一台CAS未开启IMAP客户端兼容,导致产生过多的IMAP协议日志。通过设置兼容性开关得以解决。

    1、检查协议日志已开启:Get-ImapSettings | fl ProtocolLogEnabled

    2、设置兼容。Exchange Server 2013 CU9 – Watch your IMAP clients  IMAP 客户端不断被提示输入其凭据,并且无法通过登录提示符进入其收件箱,尽管正确输入了其凭据。来自 <https://docs.microsoft.com/zh-cn/archive/blogs/technet/mspfe/exchange-server-2013-cu9-watch-your-imap-clients>

    Set-IMAPSettings –EnableGSSAPIAndNTLMAuth:$FALSE


    2020年10月9日 6:28
  • 您好:

    很高兴得知您的问题已经解决,并感谢分享上面的解决方案!

    您可将您上面的回复标记为答案以帮助其他遇到类似问题的用户,感谢您的理解!

    此致,

    Joyce Shen


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年10月9日 8:34