請教一個最近很頭痛的問題:
約從兩週前開始,我的 DOMAIN 帳號每隔約 40~100多分鐘就會被鎖定,原先是國內的 DC 鎖,但上週起,都是先由新加坡那邊就把我 LOCK,由於公司網域、EMAIL、FIREWALL、PROXY、文管...等系統全都用 AD 帳號,一被鎖定就什麼事都做不了,更何況我還要幫其他 USER 解鎖!
我做過以下步驟:
我的公司分布在亞太地區每個國家,共有 30 多台 DC(單一網域),由新加坡控管,TW 有三台,我們只有台灣這三台(SITE)的管理權限,雖然我隸屬於 Domain Admins,但也不是所有管理工作都可以執行,只有台灣的 OU 可以動,其他像 Replication...等就無法管理。
公司的網域帳號規定三個月必須變更密碼,密碼歷程記錄是12次,密碼錯誤三次就被鎖定。
請教大家,這可能是哪方面的問題,公司也有幾個人有類似問題,但我的被鎖頻率最高,加上有管理角色,真的是頭痛至極!!還請大家幫幫忙,感恩~~
已邀請的邦友 {{ invite_list.length }}/5
esyc提到:
查LOG
bigcandy提到:
新建一個帳號
AD在防火牆之後
fran633提到:
問題是,我根本都沒有去那兩台SERVER啊,所以,都不是我做的!
很久沒回來了,剛好看到這個問題,順便回一下
一般來說這種狀況常出現在
1.有記憶密碼的網頁,例如曾在別人的電腦上使用自己的帳號上過內部網站
2.執行排程時使用的是自己的帳號(很久以前設定,可能自己也忘了..)
3.有人偷try 你的密碼
以下幾個網頁是實作的方法,請依自己的環境調整
http://blog.miniasp.com/post/2010/12/08/How-to-analysis-AD-Account-Lockout-problem.aspx
http://chenzhonghua.blog.51cto.com/128732/467617
http://www.cnblogs.com/liangqihui/archive/2007/10/13/923062.html
做法大同小異,先開群組原則中三個與帳戶鎖定相關的稽核記錄
再進一步分析是那台電腦產生的問題
試看看嘍
聽你的說法,似乎有上層系統管理者可以求救,有找過他嗎?
另外,這種問題一般應該是和 client 端 (windows xp) 無關,建議你把重新放在 DC 上,看看有沒相關 LOG
尤其是事件檢視器中的安全性部份
Hi,
請去下載 ALtools, Microsoft 網站上有, 這個工具會列出您的帳號是在哪一個DC上 password failue..
非常好用的resource kit.
知道哪一台DC被鎖,關鍵是你們管不到那一台DC,
既然管不到那一台,沒有權限,用任何工具是沒用的,
也找不出任何問題的癥結點,已經非技術上的問題了,
不如直接跟那一台DC的管理者進行溝通吧!
請賜教~
iThome鐵人賽
看影片追技術