Mosandl

Problembehandlung bei Active Directory-Kontosperrungsprobleme

von

Thomas Mosandl
in ,

AD / Exchange-Pro zugewandt ist oft ein Problem, für die es wenig Dokumentation im Internet zur Verfügung steht - Benutzerkontensperrungen.

Ich weiß das, weil ich für eine Weile mit minimaler Hilfe einer Kontosperrung Problem wurde zur Fehlerbehebung. Damit, hier gehen wir - Mein Führer zur Fehlerbehebung Active Directory-Kontosperrungsprobleme

Vor dem erweiterten Problemlösungsmodus Eingabe benötigen wir, dass wir alle die Grundlagen, um sicherzustellen,:

  1. Exchange ActiveSync mobile Geräte
  2. Apple-MobileMe - Kontakte synchronisieren
  3. Anwendungen / Web-Anwendungen / Tools, die Synchronisierung mit Active Directory für die Authentifizierung
  4. Vault für Berechtigungsnachweise in Windows-Systemsteuerung oder Credential Manager
  5. Gespeicherte Benutzernamen und Passwörter - rundll32.exe keymgr.dll, KRShowKeyMgr
  6. Benennen Sie AD Profil auf der Benutzermaschine

Lassen Sie uns jedes schauen im Detail:

  1. Exchange ActiveSync mobile Geräte - Ja EAS-Geräten, EAS-Geräten und EAS-Geräten. 80% Aussperrung Fragen der Rechnung werden von einem "unbekannten" Gerät verursacht versucht, mit dem Exchange-Postfach zu synchronisieren, und wenn Sie den Benutzer fragen, würde er sagen - "Was meinst du, ein mobiles Gerät - ich sagte ja schon" ... J

    Hören Sie NICHT an den Benutzer:

    In Exchange-Verwaltungsshell ausgeführt diese:

    Get-ActiveSyncDeviceStatistics -Mailbox MeeraNair

    Das wird alle Geräte zurück der Benutzer jetzt und letzten Geräten verwendet, die eine Verbindung aufgebaut haben mit Austausch mindestens einmal.

    FirstSyncTime : 5/3/2011 2:52:38 AM

    Lastpolicy : 3/8/2012 3:32:24 PM

    LastSyncAttemptTime : 3/8/2012 6:11:53 PM

    LastSuccessSync : 3/8/2012 6:11:53 PM

    Gerätetyp : iPhone

    Geräte ID : Appl6DxxxxxxS

    DeviceUserAgent : Apple-iPhone3C1 / 901405

    Identität : Meera.Nair@msexchangeguru.comAirSync-iPhone-Appl6DxxxxxxS

     

    FirstSyncTime : 7/7/2011 1:38:44 AM

    Lastpolicy : 3/8/2012 6:14:20 PM

    LastSyncAttemptTime : 3/8/2012 7:34:09 PM

    LastSuccessSync : 3/8/2012 7:34:09 PM

    Gerätetyp : iPhone

    Geräte ID : Appl6QxxxxxxS

    DeviceUserAgent : Apple-iPhone3C1 / 901405

    Identität : Meera.Nair@msexchangeguru.comAirSync-iPhone-Appl6QxxxxxxS

Jetzt, erziehen den Benutzer, dass diese die Geräte, die mit seiner Mailbox die Synchronisierung sind, und sie haben seinen Benutzernamen und das Passwort gespeichert. Damit, Blick auf die LastSyncAttemptTime und stellen Sie sicher, dass es nicht ein EAS-Gerät, das ihn zu authentifizieren versucht.

2.Apple-MobileMe - Kontakte synchronisieren - Prüfen und sicherstellen, dass der Benutzer nicht MobileMe konfiguriert seine Kontakte aus Outlook zu synchronisieren. Wenn dies mit AD-Anmeldeinformationen konfiguriert, es kann ein Grund für die Kontosperrung sein

3.Anwendungen / Web-Anwendungen / Tools, die Synchronisierung mit Active Directory für die Authentifizierung: Sie haben richtig gehört. Es könnte Anwendungen von Drittanbietern sein, die ausgeführt werden, die AD-Benutzernamen und das Passwort innerhalb und viele Male der Moment, um die Benutzer gespeichert haben offene Anwendungen wie Internet Explorer / Browser, die Anwendung oder die Werkzeuge, es wird versuchen, im Hintergrund und verriegeln Sie das Passwort zur Authentifizierung.

4.Vault für Berechtigungsnachweise in Windows-Systemsteuerung oder Credential Manager: Dies ist der zweite offensichtlichste Grund der Benutzer aus perren könnte. In meinem Fall, der Benutzer hatte ein Intranet Sharepoint-Web-Portal und die AD-Anmeldeinformationen, wo in Credential Manager zwischengespeichert. So öffnen Credential Manager:

 

Stellen Sie sicher, Windows-Credentials Bereich ist leer


5. Gespeicherte Benutzernamen und Passwörter - Dies sollte kein Problem in den meisten Fällen, aber sicher ist sicher. Öffnen Sie ein Run-Fenster und geben Sie rundll32.exe keymgr.dll, KRShowKeyMgr und Löschen gespeicherter Passwörter falls vorhanden

6.Benennen Sie AD Profil auf der Benutzermaschine: Das ist mehr wie der Versuch, das Problem zu beheben, ohne zu wissen, was es verursacht. Dies ist unter der Annahme, dass Kontosperrung geschieht, wenn der Benutzer in seine Client-Rechner angemeldet ist. Wenn der Kontosperrung wird von dieser Maschine aus einer Anwendung oder "etwas" verursacht, Benennen Sie die AD-Profil auf dem Client von "Dokumente und Einstellungen in XP und Benutzer in Win7", raten den Benutzer erneut anmelden und die Situation zu überwachen.

Lassen Sie uns jetzt einen Blick auf einige der erweiterten Problembehandlung Schritte aussehen.

Mit dem Microsoft Lockout-Status-Tool

  1. Laden Sie Lockout-Status-Tool aus http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18465 auf in einem neuen Ordner in einem Client-Rechner.
  2. Nachdem Sie die heruntergeladene Datei zu extrahieren, Sie werden die Dateien unter:

 

3. Öffnen LockOutStatus.exe und klicken Sie auf Datei -> Target As wählen -> Geben Sie den Benutzernamen und Benutzeranmeldename als Ziel Benutzername (diejenige, die gesperrt wird immer ) und klicken Sie auf OK, wie unten angegeben:

 

030812_1928_Troubleshoo5

Bitte stellen Sie sicher, dass das Werkzeug auf jeder Maschine läuft

4. Dies wird dann verarbeitet die Datensätze über alle Domänencontroller. Sie können ein Auge halten auf der Säule Bad PWD Graf.

5. Wenn das Konto wird häufig gesperrt, das Bad Passwort Zahl steigt weiter. Notieren Sie sich, dass GC, die ein Bad PWD Graf von beliebigen Wert von mehr anzeigt als 0. Beachten Sie auch, dass der gleiche Wert wird durch den primären Domänencontroller in der Domäne angegeben werden, die ignoriert werden kann.

 

In diesem Fall, Ich werde DC01 anmelden und alle Domänencontroller, auf dieser Website und stellen Sie den folgenden Registrierungs:

  • Öffnen Sie regedit ein Konto mit erforderlichen Berechtigungen und bewegen muss:

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters

  • Erstellen Sie einen neuen DWORD-Wert mit dem Namen DBFLAG und ein Hexadezimalwert 2080ffff.
6. Sobald dies eingestellt, Neustart Anmeldedienst auf DC01 und dann warten, bis das Konto zu sperren.
7. Sobald das Konto sperrt, sicherzustellen, dass die Domain-Controller, der das Konto wieder aus LockoutStatus.exe gesperrt und nehmen Sie die Datei Netlogon.log von C:WindowsDebug.
8. Bringen Sie die Netlogon.log auf dem Client-Rechner, der die Lockout-Status-Tool installiert und geöffnet nlparse.exe der Lockout-Status Tools herunterladen hat.

Klicken Sie auf Datei -> Öffnen und Durchsuchen Sie die Netlogon.log Lage

 

 

9. Sobald die Datei durchsucht, wählte die 2 Statuscodes 0xC000006A und 0xC0000234 und klicken Sie auf Extrahieren.

Nachdem die Extraktion abgeschlossen ist, es wird ein Pop-Up zeigen, wie unten angegeben:

 

10. Es wird____geben 2 neue Dateien in den Speicherort der Datei Netlogon.log in dem Client-Rechner - Eine neue CSV und eine Zusammenfassung der Ausgabedatei.

 

11. Öffnen Sie die CSV-Datei und filtern, um die User Alias ​​für die letzten Aussperrung:

030812_1928_Troubleshoo12

Dies zeigt, dass DC01 die Aussperrung von DC07 erhalten.

In diesem Fall, Sie können Schritte ausführen 6 nach 12 wieder auf DC07 und die Maschine überprüfen, ob die Sperrung erfolgt von.

diejenigen: http://msexchangeguru.com/2012/03/08/ad-lockout/