===問題描述===
使用者反應他的賬戶總是被鎖定,起初鎖定時間一個小時左右,如今已經縮短到了30秒以内
===原因分析===
造成賬戶鎖定的原因
通過powershell檢視使用者在兩個星期前修改過密碼,這也是造成鎖定的導火索
舊的密碼憑據還保留在其他伺服器或者用戶端上,正在嘗試進行某種操作
使用者使用的計算機中了病毒或者有人惡意嘗試密碼
這裡隻有他一個人被鎖定了,可以排除病毒的可能,惡意嘗試不可能什麼時間段都鎖定,也可以排除
附件上傳了一個檢視賬戶鎖定的工具,在DC上将其安裝,輸入被鎖賬戶使用者名密碼就可以檢視使用者鎖定資訊、密碼最後修改時間等資訊
===事件檢視===
預設的日志對于我們檢視使用者鎖定來說沒有任何參考價值,需要開啟賬戶登入稽核以及賬戶管理稽核
要在有PDC操作主機上的DC開啟,Netdom query fsmo這條指令檢視PDC主機在哪台DC
1)設定本地政策群組政策都可以,最終的結果都是開啟了本地稽核政策,設定成圖中的選項
<a href="http://s2.51cto.com/wyfs02/M00/83/24/wKioL1drl5Pyp1t_AACKNJYBm2o746.png" target="_blank"></a>
2)必須重新整理組政策,然後使用auditpol/get /category:* 檢視稽核政策是否生效
<a href="http://s2.51cto.com/wyfs02/M00/83/25/wKiom1drm8Ogsv0gAAA5vQ-V_cU507.png" target="_blank"></a>
3)等待問題重制後檢視日志,事件ID為4740的是賬戶鎖定的日志
從中可以看出使用者L70082,鎖定源則是一台名為Admin-pc的電腦,這不是被鎖定使用者登入的計算機
以下說明賬戶解鎖和憑據驗證的事件ID,附圖
<a href="http://s2.51cto.com/wyfs02/M02/83/24/wKioL1drnReSreECAABxnFYWBiY609.png" target="_blank"></a>
賬戶解鎖,事件ID4767,包括管理者手動解鎖和鎖定時間後自動解鎖
<a href="http://s3.51cto.com/wyfs02/M00/83/26/wKiom1drpC-D5jAhAAAnsHVCcH4189.png" target="_blank"></a>
使用者憑據驗證,事件ID4776,此事件和4740尤為重要,排查問題主要收集這兩種日志
<a href="http://s5.51cto.com/wyfs02/M01/83/26/wKiom1drpKzC8FCpAAA7HMiZe8s133.png" target="_blank"></a>
===問題排查-排查問題PC===
1)于是就在域OU查找名為Admin-pc這台計算機,
<a href="http://s1.51cto.com/wyfs02/M00/83/25/wKioL1drngHCQQXwAAA-YwHJKQ4481.png" target="_blank"></a>
2)使用ping指令檢視到電腦的IP位址
<a href="http://s3.51cto.com/wyfs02/M02/83/25/wKioL1drnrDjbWwfAAA3ItfC54M722.png" target="_blank"></a>
3)找網絡相關人員查詢PC是什麼部門在使用,即時消息找到部門人員後,開始排查問題,沒有異常的服務和程序,任務計劃中也沒有和鎖定賬戶相關的任務
将使用者計算機也開啟本地稽核政策,等待問題重制後抓取日志
重新整理組政策,auditpol/get /category:*檢視政策生效結果
<a href="http://s1.51cto.com/wyfs02/M02/83/25/wKioL1droZvRkOuPAADQmF1fInU610.png" target="_blank"></a>
4)開啟登入事件:可以看到除了本機使用者之外其他使用者是否在此計算記進行登入
開啟程序跟蹤:記錄使用者計算機每一個操作開始和結束,使用的賬戶名稱以及調用的檔案
但是結果并沒有發現任何L70082(被鎖定賬戶)的線索
5)下班後将其計算機關閉,檢視是否還會出現賬戶鎖定現象, 就30秒左右的時間,賬戶還是被鎖了,源還是Admin-pc
6)為了完全排除這台計算機的嫌疑,将此計算記改名為公司規定計算機名稱,鎖定源還是Admin-PC
===柳暗花明===
1)日志是不會說謊的,我堅信這一點,在DC上運作如下指令開啟Netlogon debug log(會記錄使用者找DC做驗證和登入的資訊)問題重制後檢視日志,日志路徑:c:\windows\debug\netlogon.log
如果有多台DC,詳細檢視每台DC的Netlogon日志
nltest/dbflag:0x2080ffff
Net Stop NetLogon & Net start Netlogon
日志檔案中找到了些有價值的線索,直接在日志中用被鎖使用者名作為查找資訊
箭頭所指的意思是Admin-PC使用了L70082這個賬戶通路了BHAD10的資源
<a href="http://s2.51cto.com/wyfs02/M01/83/51/wKioL1dwuR6hnikHAACWdZeEB6Y089.png" target="_blank"></a>
接着往下找找,又看到了一條日志資訊,ADMIN-PC又用L70082通路了PRINTERCARD這台伺服器
<a href="http://s1.51cto.com/wyfs02/M00/83/51/wKioL1dwupDg7sOUAAAOKD34ZLs581.png" target="_blank"></a>
2)經過核實後,Printercard這台伺服器是管理公司所有列印伺服器的,懷疑可能是列印機使用以前舊密碼一直進行列印操作,但是管理者一口咬定說這個管理系統會将無效的列印任務自動删除
3)登入Printercard這台伺服器,通過微軟的抓包工具Network Monitor
安裝完成後請點選“Start Page”中的“New capture tab”建立一個任務;
準備好後,請按界面上的“Start”開始資料的抓取;
以管理者身份運作以下指令:
ipconfig /flushdns
nbtstat –rr 問題重制後,按界面上的Stop停止抓包
<a href="http://s2.51cto.com/wyfs02/M01/83/53/wKiom1dwvYazdBQWAADmXzQtlz0983.png" target="_blank"></a>
4)Netlogon日志是無法看到IP位址的,隻有通過網絡抓包才可以找到問題根源
可以看到源IP為10.124.90.199,但是我通過ping和telnet指令無法和這台計算機通信,可能是防火牆做了什麼設定吧,這個也不必太糾結,可能是一台部門用的小型伺服器
5)接着上面的排錯,通過網絡表查找到這個位址段是企業文化部的人在使用,找到這台計算機後使用者說是一台對外開放的小型伺服器,所有開放了防火牆政策,這也就是為什麼我們通路不到它的原因,也是這一點給排錯增加了一絲難度
===最後一擊===
由于此計算機設計機密檔案,無法截圖或拍照,操作很簡單照着檔案看一次就懂了
1)之前的日志資訊顯示為它在聯系列印伺服器,那麼我們接下來的排錯思路肯定是從列印入手,控制台中找到列印機管理,然後檢視列印任務,看到有兩個列印任務是6月7号的這也就是被鎖定使用者修改密碼的時間,之是以一直沒有列印是因為使用者密碼已經被修改過了
2)到這裡我開始猶豫了,密碼到底儲存在哪裡,哈!當然是管理憑據中了,點選Windows管理憑據,發現裡面确實存儲了L70082的賬戶名和密碼,将其删除後,賬戶半小時以内沒有再次鎖定。(之前可是30秒就一次的)
===解惑===
導 緻此現象出現的原因是,這台沒有加入域的計算機想要列印檔案,但是必須輸入有權限的域賬戶才可以,L70082将自己使用者密碼儲存在了Admin-PC這 台計算機的Windows憑據中,友善使用Admin-pc的使用者進行列印任務,L70082修改密碼後,Admin-PC就沒法進行列印了,由于管理憑 據中存有L70082的賬戶密碼,是以列印任務會一直重試,這種現象也不會被管理列印伺服器認定為垃圾列印。
===總結===
為此我咨詢微軟工程師,賬戶鎖定的問題他們基本沒有使用抓包來解決,解決方法如下:
1)開啟稽核日志,具體資訊上文中提到
2)通過事件ID4740和4776找到鎖定源
3)在鎖定源上開啟登入事件和程序跟蹤的稽核日志
4)确定DC和用戶端的時間是同步的,例如在DC中檢視4740日志發現使用者在10:55:23的時候被鎖定了,
就可以在用戶端查找相同僚件的日志,檢視當時在運作哪些程序。就可以準确的找到問題的根源!
出現像我寫到的這種特殊情況時,抓包是最好的解決方法!
本文轉自 bilinyee部落格,原文連結:http://blog.51cto.com/ericfu/1853658 如需轉載請自行聯系原作者
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)