Exchange 鎖定ADUser

exchange

ahfuyeuem 2022-05-25 10:19:14 ‧ 950 瀏覽

各位前輩好

在三個月前的某天A同事的AD帳戶一直遭到鎖定
幾乎是一解鎖就鎖定
當時A同事密碼也尚未到期
檢查AD的日誌有 Event ID 4740 鎖定A同事
來源是Exchange Server

檢查Exchange的記錄
鎖定來源是Microsoft Exchange Frontend Transport這項服務
記錄中查不到嘗試登入的電腦
也嘗試過查詢IIS日誌, 當天整天的日誌都沒有A同事的登入記錄

根據爬文先做了以下動作

將控制台 > 憑證管理員所有暫存清空
重設手機信箱帳戶
檢查所有A同事登入過的電腦是否有舊憑證
都沒有找到原因
透過第三方工具查詢也是憑證錯誤次數到達GPO政策所設定的30次
並沒有任何來源
後來重開了Exchange Server之後就沒有再鎖定A同事了

直到昨天除了A同事之外
B同事 C同事 D同事 E同事 F信箱
五位同事跟一個公用信箱也都遭到鎖定
查看紀錄也是憑證錯誤次數到達30次

事後也是重開Exchange Server才停止鎖定

想請問各位大大有沒有甚麼經驗可以分享給小弟?

harrytsai iT邦新手 1 級 ‧ 2022-05-25 12:48:01 檢舉

通常就是有人的密碼被猜到,被入侵,自己觀察一下使用者非正常時間登入的狀態就知道了

ahfuyeuem iT邦研究生 4 級 ‧ 2022-05-26 10:39:03 檢舉

從AAD及本地LOG都沒有查到使用者有異常位址的成功登入紀錄

zail23x3 iT邦新手 5 級 ‧ 2023-03-24 11:04:51 檢舉

最近我們公司也遇到同樣的問題，也是重開機之後就正常了
想請教一下，在這之後有重開幾以外的解法嗎? 謝謝

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

IT邦幫忙