AD帐户频繁被锁

时间  2020-11-20 标签 shell windows 服务器 网络 dom ide 工具 spa debug 设计

===问题描述===shell

用户反应他的帐户老是被锁定,起初锁定时间一个小时左右,现在已经缩短到了30秒之内windows


===缘由分析===服务器

形成帐户锁定的缘由网络

  1. 经过powershell查看用户在两个星期前修改过密码,这也是形成锁定的×××dom

  2. 旧的密码凭据还保留在其余服务器或者客户端上,正在尝试进行某种操做ide

  3. 用户使用的计算机中了病毒或者有人恶意尝试密码工具

这里只有他一我的被锁定了,能够排除病毒的可能,恶意尝试不可能什么时间段都锁定,也能够排除spa

附件上传了一个查看帐户锁定的工具,在DC上将其安装,输入被锁帐户用户名密码就能够查看用户锁定信息、密码最后修改时间等信息debug


===事件查看===设计

默认的日志对于咱们查看用户锁定来讲没有任何参考价值,须要开启帐户登陆审核以及帐户管理审核

要在有PDC操做主机上的DC开启,Netdom query fsmo这条命令查看PDC主机在哪台DC

1)设置本地策略和组策略均可以,最终的结果都是开启了本地审核策略,设置成图中的选项

wKioL1drl5Pyp1t_AACKNJYBm2o746.png


2)必须刷新组策略,而后使用auditpol/get /category:*  查看审核策略是否生效

wKiom1drm8Ogsv0gAAA5vQ-V_cU507.png


3)等待问题重现后查看日志,事件ID为4740的是帐户锁定的日志

从中能够看出用户L70082,锁定源则是一台名为Admin-pc的电脑,这不是被锁定用户登陆的计算机

如下说明帐户解锁和凭据验证的事件ID,附图

wKioL1drnReSreECAABxnFYWBiY609.png


帐户解锁,事件ID4767,包括管理员手动解锁和锁定时间后自动解锁

wKiom1drpC-D5jAhAAAnsHVCcH4189.png


用户凭据验证,事件ID4776,此事件和4740尤其重要,排查问题主要收集这两种日志

wKiom1drpKzC8FCpAAA7HMiZe8s133.png



===问题排查-排查问题PC===

1)因而就在域OU查找名为Admin-pc这台计算机,

wKioL1drngHCQQXwAAA-YwHJKQ4481.png


2)使用ping命令查看到电脑的IP地址

wKioL1drnrDjbWwfAAA3ItfC54M722.png


3)找网络相关人员查询PC是什么部门在使用,即时消息找到部门人员后,开始排查问题,没有异常的服务和进程,任务计划中也没有和锁定帐户相关的任务

将用户计算机也开启本地审核策略,等待问题重现后抓取日志

刷新组策略,auditpol/get /category:*查看策略生效结果

wKioL1droZvRkOuPAADQmF1fInU610.png

4)开启登陆事件:能够看到除了本机用户以外其余用户是否在此计算记进行登陆

   开启进程跟踪:记录用户计算机每个操做开始和结束,使用的帐户名称以及调用的文件

   可是结果并无发现任何L70082(被锁定帐户)的线索


5)下班后将其计算机关闭,查看是否还会出现帐户锁定现象, 就30秒左右的时间,帐户仍是被锁了,源仍是Admin-pc


6)为了彻底排除这台计算机的嫌疑,将此计算记更名为公司规定计算机名称,锁定源仍是Admin-PC


===柳暗花明===

1)日志是不会说谎的,我坚信这一点,DC上运行以下命令开启Netlogon debug log(会记录用户找DC作验证和登陆的信息)问题重现后查看日志,日志路径:c:\windows\debug\netlogon.log

若是有多台DC,详细查看每台DC的Netlogon日志

nltest/dbflag:0x2080ffff

Net Stop NetLogon & Net start Netlogon

日志文件中找到了些有价值的线索,直接在日志中用被锁用户名做为查找信息

箭头所指的意思是Admin-PC使用了L70082这个帐户访问了BHAD10的资源

wKioL1dwuR6hnikHAACWdZeEB6Y089.png


接着往下找找,又看到了一条日志信息,ADMIN-PC又用L70082访问了PRINTERCARD这台服务器

wKioL1dwupDg7sOUAAAOKD34ZLs581.png


2)通过核实后,Printercard这台服务器是管理公司全部打印服务器的,怀疑多是打印机使用之前旧密码一直进行打印操做,可是管理员一口咬定说这个管理系统会将无效的打印任务自动删除


3)登陆Printercard这台服务器,经过微软的抓包工具Network Monitor

        下载地址 http://www.microsoft.com/en-us/download/details.aspx?id=4865

安装完成后请点击“Start Page”中的“New capture tab”新建一个任务;

准备好后,请按界面上的“Start”开始数据的抓取;

以管理员身份运行如下命令:

ipconfig /flushdns

nbtstat –rr 问题重现后,按界面上的Stop中止抓包

wKiom1dwvYazdBQWAADmXzQtlz0983.png


4)Netlogon日志是没法看到IP地址的,只有经过网络抓包才能够找到问题根源

能够看到源IP为10.124.90.199,可是我经过ping和telnet命令没法和这台计算机通讯,多是防火墙作了什么设置吧,这个也没必要太纠结,多是一台部门用的小型服务器


5)接着上面的排错,经过网络表查找到这个地址段是企业文化部的人在使用,找到这台计算机后用户说是一台对外开放的小型服务器,全部开放了防火墙策略,这也就是为何咱们访问不到它的缘由,也是这一点给排错增长了一丝难度


===最后一击===

因为此计算机设计机密文件,没法截图或拍照,操做很简单照着文件看一次就懂了

1)以前的日志信息显示为它在联系打印服务器,那么咱们接下来的排错思路确定是从打印入手,控制面板中找到打印机管理,而后查看打印任务,看到有两个打印任务是6月7号的这也就是被锁定用户修改密码的时间,之因此一直没有打印是由于用户密码已经被修改过了


2)到这里我开始犹豫了,密码到底储存在哪里,哈!固然是管理凭据中了,点击Windows管理凭据,发现里面确实存储了L70082的帐户名和密码,将其删除后,帐户半小时之内没有再次锁定。(以前但是30秒就一次的)


===解惑===

导 致此现象出现的缘由是,这台没有加入域的计算机想要打印文件,可是必须输入有权限的域帐户才能够,L70082将本身用户密码保存在了Admin-PC这 台计算机的Windows凭据中,方便使用Admin-pc的用户进行打印任务,L70082修改密码后,Admin-PC就无法进行打印了,因为管理凭 据中存有L70082的帐户密码,因此打印任务会一直重试,这种现象也不会被管理打印服务器认定为垃圾打印。


===总结===

为此我咨询微软工程师,帐户锁定的问题他们基本没有使用抓包来解决,解决方法以下:

1)开启审核日志,具体信息上文中提到

2)经过事件ID4740和4776找到锁定源

3)在锁定源上开启登陆事件和进程跟踪的审核日志

4)肯定DC和客户端的时间是同步的,例如在DC中查看4740日志发现用户在10:55:23的时候被锁定了,

就能够在客户端查找相同事件的日志,查看当时在运行哪些进程。就能够准确的找到问题的根源!


出现像我写到的这种特殊状况时,抓包是最好的解决方法!

联系我们 沪ICP备13005482号-10