===问题描述===shell
用户反应他的帐户老是被锁定,起初锁定时间一个小时左右,现在已经缩短到了30秒之内windows
===缘由分析===服务器
形成帐户锁定的缘由网络
经过powershell查看用户在两个星期前修改过密码,这也是形成锁定的×××dom
旧的密码凭据还保留在其余服务器或者客户端上,正在尝试进行某种操做ide
用户使用的计算机中了病毒或者有人恶意尝试密码工具
这里只有他一我的被锁定了,能够排除病毒的可能,恶意尝试不可能什么时间段都锁定,也能够排除spa
附件上传了一个查看帐户锁定的工具,在DC上将其安装,输入被锁帐户用户名密码就能够查看用户锁定信息、密码最后修改时间等信息debug
===事件查看===设计
默认的日志对于咱们查看用户锁定来讲没有任何参考价值,须要开启帐户登陆审核以及帐户管理审核
要在有PDC操做主机上的DC开启,Netdom query fsmo这条命令查看PDC主机在哪台DC
1)设置本地策略和组策略均可以,最终的结果都是开启了本地审核策略,设置成图中的选项
2)必须刷新组策略,而后使用auditpol/get /category:* 查看审核策略是否生效
3)等待问题重现后查看日志,事件ID为4740的是帐户锁定的日志
从中能够看出用户L70082,锁定源则是一台名为Admin-pc的电脑,这不是被锁定用户登陆的计算机
如下说明帐户解锁和凭据验证的事件ID,附图
帐户解锁,事件ID4767,包括管理员手动解锁和锁定时间后自动解锁
用户凭据验证,事件ID4776,此事件和4740尤其重要,排查问题主要收集这两种日志
===问题排查-排查问题PC===
1)因而就在域OU查找名为Admin-pc这台计算机,
2)使用ping命令查看到电脑的IP地址
3)找网络相关人员查询PC是什么部门在使用,即时消息找到部门人员后,开始排查问题,没有异常的服务和进程,任务计划中也没有和锁定帐户相关的任务
将用户计算机也开启本地审核策略,等待问题重现后抓取日志
刷新组策略,auditpol/get /category:*查看策略生效结果
4)开启登陆事件:能够看到除了本机用户以外其余用户是否在此计算记进行登陆
开启进程跟踪:记录用户计算机每个操做开始和结束,使用的帐户名称以及调用的文件
可是结果并无发现任何L70082(被锁定帐户)的线索
5)下班后将其计算机关闭,查看是否还会出现帐户锁定现象, 就30秒左右的时间,帐户仍是被锁了,源仍是Admin-pc
6)为了彻底排除这台计算机的嫌疑,将此计算记更名为公司规定计算机名称,锁定源仍是Admin-PC
===柳暗花明===
1)日志是不会说谎的,我坚信这一点,在DC上运行以下命令开启Netlogon debug log(会记录用户找DC作验证和登陆的信息)问题重现后查看日志,日志路径:c:\windows\debug\netlogon.log
若是有多台DC,详细查看每台DC的Netlogon日志
nltest/dbflag:0x2080ffff
Net Stop NetLogon & Net start Netlogon
日志文件中找到了些有价值的线索,直接在日志中用被锁用户名做为查找信息
箭头所指的意思是Admin-PC使用了L70082这个帐户访问了BHAD10的资源
接着往下找找,又看到了一条日志信息,ADMIN-PC又用L70082访问了PRINTERCARD这台服务器
2)通过核实后,Printercard这台服务器是管理公司全部打印服务器的,怀疑多是打印机使用之前旧密码一直进行打印操做,可是管理员一口咬定说这个管理系统会将无效的打印任务自动删除
3)登陆Printercard这台服务器,经过微软的抓包工具Network Monitor
下载地址 http://www.microsoft.com/en-us/download/details.aspx?id=4865
安装完成后请点击“Start Page”中的“New capture tab”新建一个任务;
准备好后,请按界面上的“Start”开始数据的抓取;
以管理员身份运行如下命令:
ipconfig /flushdns
nbtstat –rr 问题重现后,按界面上的Stop中止抓包
4)Netlogon日志是没法看到IP地址的,只有经过网络抓包才能够找到问题根源
能够看到源IP为10.124.90.199,可是我经过ping和telnet命令没法和这台计算机通讯,多是防火墙作了什么设置吧,这个也没必要太纠结,多是一台部门用的小型服务器
5)接着上面的排错,经过网络表查找到这个地址段是企业文化部的人在使用,找到这台计算机后用户说是一台对外开放的小型服务器,全部开放了防火墙策略,这也就是为何咱们访问不到它的缘由,也是这一点给排错增长了一丝难度
===最后一击===
因为此计算机设计机密文件,没法截图或拍照,操做很简单照着文件看一次就懂了
1)以前的日志信息显示为它在联系打印服务器,那么咱们接下来的排错思路确定是从打印入手,控制面板中找到打印机管理,而后查看打印任务,看到有两个打印任务是6月7号的这也就是被锁定用户修改密码的时间,之因此一直没有打印是由于用户密码已经被修改过了
2)到这里我开始犹豫了,密码到底储存在哪里,哈!固然是管理凭据中了,点击Windows管理凭据,发现里面确实存储了L70082的帐户名和密码,将其删除后,帐户半小时之内没有再次锁定。(以前但是30秒就一次的)
===解惑===
导 致此现象出现的缘由是,这台没有加入域的计算机想要打印文件,可是必须输入有权限的域帐户才能够,L70082将本身用户密码保存在了Admin-PC这 台计算机的Windows凭据中,方便使用Admin-pc的用户进行打印任务,L70082修改密码后,Admin-PC就无法进行打印了,因为管理凭 据中存有L70082的帐户密码,因此打印任务会一直重试,这种现象也不会被管理打印服务器认定为垃圾打印。
===总结===
为此我咨询微软工程师,帐户锁定的问题他们基本没有使用抓包来解决,解决方法以下:
1)开启审核日志,具体信息上文中提到
2)经过事件ID4740和4776找到锁定源
3)在锁定源上开启登陆事件和进程跟踪的审核日志
4)肯定DC和客户端的时间是同步的,例如在DC中查看4740日志发现用户在10:55:23的时候被锁定了,
就能够在客户端查找相同事件的日志,查看当时在运行哪些进程。就能够准确的找到问题的根源!
出现像我写到的这种特殊状况时,抓包是最好的解决方法!