none
AD 账户总是频繁被锁定的问题 RRS feed

  • 问题

  • 最近两天总是有一个账号被锁定,通过LockoutStatus 工具可以看到是在哪个AD上登录的,也能通过eventcombMT看到具体日志,也有源登录主机名字,奇怪的是这个主机名查了下刚开始是一台笔记本,但是我把这个机器重命名并关机,而且在AD 计算机里面把这个机器删除,今天又出现同样的问题,现在因为主机名在AD中不存在,日志上也没显示IP地址,有什么办法可以找到这个源主机?

    有办法可以让系统日志显示登录源主机的IP吗?

    2019年4月10日 11:18

答案

全部回复

  • 您好,

    感谢您的发帖。

    请您在每台DCdefault domain policy上开启审核策略。

    路径:路径:计算机配置\ Windows设置\安全设置\本地策略\审核策略

    策略:审核帐户登录事件 - 失败

    审计账户管理 - 成功与失败

    完成这些更改后,请在所有DC上运行Gpupdate /force以刷新策略,然后键入命令auditpol /get /category*以检查所有审核是否已启用。

    要查看失败的请求详细信息,请在PDC上使用以下命令启用NetLogon日志记录。

    nltest /dbflag0x2080ffff

    当再次出现此问题时,我们可以使用以下命令禁用NetLogon Loggingnltest /dbflag0x0

    SDP报告将收集netlogon调试日志并上传它。

    有关为Netlogon服务启用调试日志记录的详细信息,请参阅下面的链接

    https://support.microsoft.com/en-sg/help/109626/enabling-debug-logging-for-the-netlogon-service

    感谢您的理解和支持。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年4月11日 6:23
    版主
  • 谢谢!

    其实我是想知道能否获取客户端登录机器的IP而不是主机名,相对来说IP准确一些。

    2019年4月12日 1:54
  • 中午又出现了一次账户被连续锁定的情况,检查日志发现源工作站这个主机名在AD里找不到,很奇怪,有没有其他办法?
    2019年4月12日 3:56
  • 问题已解决。

    通过安装Microsoft network monitor找到该主机名对应的IP,关机后正常。

    • 已标记为答案 smallfish01 2019年4月17日 11:20
    2019年4月17日 11:19