iT邦幫忙

0

AD帳號一段時間被鎖定問題

ad
花輪 2011-03-24 13:49:0319747 瀏覽

請教一個最近很頭痛的問題:

約從兩週前開始,我的 DOMAIN 帳號每隔約 40~100多分鐘就會被鎖定,原先是國內的 DC 鎖,但上週起,都是先由新加坡那邊就把我 LOCK,由於公司網域、EMAIL、FIREWALL、PROXY、文管...等系統全都用 AD 帳號,一被鎖定就什麼事都做不了,更何況我還要幫其他 USER 解鎖!

我做過以下步驟:

將所有的網路磁碟對應關係切斷,包括 HOME FOLDER。

使用兩種防毒軟體掃描全機,第一次有掃到一個(名稱忘了),但我判斷與它無關。

用 CCLEAN 最新版徹底清理系統一次,並將上網記錄、COOKIE、LOG...等全部刪除。

無法解決後,將系統(XP Pro+SP3)FORMAT 重灌。

再裝第三種防毒軟體(MSE2)再掃全機一次,沒掃到毒(怕 D: 槽殘留病毒。

將我使用的電腦關機停用,在關機狀況下或者開著機什麼都不做,帳號照樣一段時間後被鎖定。

目前每天一早上班時,帳號絕對會被鎖定,通常都是前一天 18:xx 左右(已關機下班回家)

我的公司分布在亞太地區每個國家,共有 30 多台 DC(單一網域),由新加坡控管,TW 有三台,我們只有台灣這三台(SITE)的管理權限,雖然我隸屬於 Domain Admins,但也不是所有管理工作都可以執行,只有台灣的 OU 可以動,其他像 Replication...等就無法管理。
公司的網域帳號規定三個月必須變更密碼,密碼歷程記錄是12次,密碼錯誤三次就被鎖定。

請教大家,這可能是哪方面的問題,公司也有幾個人有類似問題,但我的被鎖頻率最高,加上有管理角色,真的是頭痛至極!!還請大家幫幫忙,感恩~~

看更多先前的討論...收起先前的討論...
小成 iT邦高手 10 級 ‧ 2011-03-24 15:22:06 檢舉
有查LOG嗎?
感覺不是中毒就是有人故意在TRY你密碼?
player iT邦大師 1 級 ‧ 2011-03-24 15:29:14 檢舉
應該是有電腦中毒了
所以不斷的在對你的AD做try帳密
請先找出中毒的那台隔離
並確保AD在防火牆之後
CalvinKuo iT邦大師 7 級 ‧ 2011-03-24 15:40:45 檢舉
看能不能看到郵件伺服器 Log,Exchange有打開POP3/IMAP的話關掉(POP3最容易被攻擊)。
還有查查用AD帳號驗證的IIS伺服器。
esyc提到:
查LOG

+1

怎麼不要,新建一個帳號,用他來試試看?
花輪 iT邦大師 1 級 ‧ 2011-03-24 16:20:30 檢舉
查過了,有兩種情況,一種是連 FILE SERVER;另一種是連 DHCP
問題是,我根本都沒有去那兩台SERVER啊,所以,都不是我做的!
花輪 iT邦大師 1 級 ‧ 2011-03-24 16:22:04 檢舉
bigcandy提到:
新建一個帳號

ACCOUNT CREATE 要新加坡那邊新增,約3~5天,我們沒權限!
殘念~
花輪 iT邦大師 1 級 ‧ 2011-03-24 16:23:54 檢舉
我的PC確定沒事了,至於其他PC......
公司有上千台PC+SERVER,怎麼找誰中毒在TRY我帳號??
AD在防火牆之後

當然!!
花輪 iT邦大師 1 級 ‧ 2011-03-24 16:25:31 檢舉
EXCHANGE 也在新加坡,摸不到!
且我們也不是用 POP3/IMAP4
IIS 沒裝,至少台灣沒有...
小成 iT邦高手 10 級 ‧ 2011-03-24 17:01:51 檢舉
DC上的LOG有查嗎?
LOG中不是會有寫哪台電腦在TRY?
小成 iT邦高手 10 級 ‧ 2011-03-24 17:20:08 檢舉
忘記問
你掃毒怎麼掃?
直接在系統上裝掃毒掃? 安全模式? WINPE?
raytracy iT邦大神 1 級 ‧ 2011-03-25 17:36:18 檢舉
fran633提到:
問題是,我根本都沒有去那兩台SERVER啊,所以,都不是我做的!

關鍵在這句, 所以是某個白目小三的電腦出問題, 然後拿你的帳號來猛敲門.....

裝個網路側錄器吧!! 或是把 DC 的 Ethernet Port Mirror 出來, 用 Sniffer 看一下封包...就知道是哪一台電腦了....
player iT邦大師 1 級 ‧ 2011-03-28 14:58:45 檢舉
找MIS去調SNMP相關設備(路由器,交換器,Hub)的紀錄
看到底是哪一台不斷的在與AD那台連線
找到可疑的電腦之後
先把那台自網路上斷開
再看看
問一下,所謂的連FTP 跟連DHCP 的動作,是由那個Log 看到的,有比較完整的Log 嗎??有資訊比較好判定呢...
花輪 iT邦大師 1 級 ‧ 2011-03-28 16:36:20 檢舉
是連 DHCP & FILE SERVER,我是從 LUCKOUTSTATUS tool 內連到 DC 的 EVENT LOG 內,在「安全性」的 LOG 內看到的。

由於權限的關係,台灣這邊連 DCDIAG 都不能做,甚至連 DC 的 WINDOWS UPDATE & 掃毒 都不行!
花輪 iT邦大師 1 級 ‧ 2011-03-28 16:38:11 檢舉
回 RAY 大:
把 DC 的 Ethernet Port Mirror 出來, 用 Sniffer 看一下封包

這是不被允許的... 落寞
花輪 iT邦大師 1 級 ‧ 2011-03-31 10:38:05 檢舉
問題解決了,接著,我該去把 DHCP Server 掃個毒了...

感謝大家的回覆,感恩~~~謝謝謝謝謝謝
14
folkdancer
iT邦新手 3 級 ‧ 2011-03-24 17:46:56
最佳解答

很久沒回來了,剛好看到這個問題,順便回一下
一般來說這種狀況常出現在
1.有記憶密碼的網頁,例如曾在別人的電腦上使用自己的帳號上過內部網站
2.執行排程時使用的是自己的帳號(很久以前設定,可能自己也忘了..)
3.有人偷try 你的密碼
以下幾個網頁是實作的方法,請依自己的環境調整
http://blog.miniasp.com/post/2010/12/08/How-to-analysis-AD-Account-Lockout-problem.aspx
http://chenzhonghua.blog.51cto.com/128732/467617
http://www.cnblogs.com/liangqihui/archive/2007/10/13/923062.html
做法大同小異,先開群組原則中三個與帳戶鎖定相關的稽核記錄
再進一步分析是那台電腦產生的問題
試看看嘍

花輪 iT邦大師 1 級 ‧ 2011-03-31 10:42:00 檢舉

上面第三個 link 值得有興趣的人好好看看,拜讀一下,寫得很詳細...
謝謝灑花

12
aeolus0829
iT邦研究生 4 級 ‧ 2011-03-24 16:29:03

聽你的說法,似乎有上層系統管理者可以求救,有找過他嗎?

另外,這種問題一般應該是和 client 端 (windows xp) 無關,建議你把重新放在 DC 上,看看有沒相關 LOG

尤其是事件檢視器中的安全性部份

花輪 iT邦大師 1 級 ‧ 2011-03-24 16:40:32 檢舉

aeolus0829提到:
建議你把重新放在 DC 上

不懂?疑惑 請賜教~

LOG看過,在討論中已回答..

我想先確定國內沒問題再問國外,不然,她們會找一些理由叫你先確定問題...不耐煩

小成 iT邦高手 10 級 ‧ 2011-03-25 08:08:52 檢舉

我猜他應該是說把重心放在DC上吧?

12
darkeryu
iT邦新手 1 級 ‧ 2011-03-24 23:31:00

Hi,
請去下載 ALtools, Microsoft 網站上有, 這個工具會列出您的帳號是在哪一個DC上 password failue..
非常好用的resource kit.

花輪 iT邦大師 1 級 ‧ 2011-03-25 11:30:55 檢舉

謝謝,早就在用了,雖然可以知道在哪一台DC被鎖,但我們管不到那一台!落寞

10
billyao
iT邦新手 1 級 ‧ 2011-03-25 17:28:13

知道哪一台DC被鎖,關鍵是你們管不到那一台DC,
既然管不到那一台,沒有權限,用任何工具是沒用的,
也找不出任何問題的癥結點,已經非技術上的問題了,
不如直接跟那一台DC的管理者進行溝通吧!

花輪 iT邦大師 1 級 ‧ 2011-03-25 17:47:27 檢舉

因為那一台是 PDC模擬器,所以,有些處置要到 PDC 上去設定,樓上提到的一些方法,我們也只能反映給國外,期待他們會幫我們處理了...

darkeryu iT邦新手 1 級 ‧ 2011-03-25 23:20:16 檢舉

Hi,
既然能知道是哪台DC上鎖定的, 只能去event log內查..
但您又沒有權限, 我想此題應該無解..Good Luck

我要發表回答

立即登入回答