Risoluzione dei problemi di blocco account di Active Directory

AD / Scambio pro fa spesso affrontare un problema per cui c'è poca documentazione disponibile su internet - blocchi di account utente.

lo so, perché sono stato risoluzione di un problema di blocco account per un po 'con l'aiuto minimo. Così, qui andiamo - La mia guida per la risoluzione dei problemi di blocco degli account Active Directory

Prima di entrare in modalità di risoluzione avanzata dei problemi dobbiamo garantire copriamo tutte le basi:

  1. dispositivi mobili Exchange ActiveSync
  2. Di Apple MobileMe - Sincronizza contatti
  3. applicazioni / Le applicazioni Web / Strumenti che la sincronizzazione con Active Directory per l'autenticazione
  4. Vault per le credenziali nel Pannello di controllo di Windows o manager Credential
  5. nomi utente e password archiviati - rundll32.exe keymgr.dll, KRShowKeyMgr
  6. Rinomina AD profilo sulla macchina dell'utente

Diamo un'occhiata a ciascuno in dettaglio:

  1. dispositivi mobili Exchange ActiveSync - Dispositivi Sì EAS, dispositivi EAS e dispositivi EAS. 80% di conto problemi di blocco sono causati da un dispositivo “sconosciuto” il tentativo di sincronizzazione con la cassetta postale di Exchange e quando si chiede l'utente diceva - “Che cosa si intende un dispositivo mobile - ho già detto ya” ... J

    NON ascoltare l'utente:

    In Exchange Management Shell eseguire questo:

    Get-ActiveSyncDeviceStatistics -Mailbox MeeraNair

    Questo sta per restituire tutti i dispositivi che l'utente sta usando in questo momento e dispositivi del passato, che hanno stabilito il collegamento con Exchange almeno una volta.

    FirstSyncTime : 5/3/2011 2:52:38 AM

    LastPolicyUpdateTime : 3/8/2012 3:32:24 PM

    LastSyncAttemptTime Data : 3/8/2012 6:11:53 PM

    LastSuccessSync : 3/8/2012 6:11:53 PM

    Tipo di dispositivo : i phone

    ID del dispositivo : Appl6DxxxxxxS

    DeviceUserAgent : Apple iPhone3C1 / 901,405

    Identità : Meera.Nair@msexchangeguru.comAirSync-iPhone-Appl6DxxxxxxS

     

    FirstSyncTime : 7/7/2011 1:38:44 AM

    LastPolicyUpdateTime : 3/8/2012 6:14:20 PM

    LastSyncAttemptTime Data : 3/8/2012 7:34:09 PM

    LastSuccessSync : 3/8/2012 7:34:09 PM

    Tipo di dispositivo : i phone

    ID del dispositivo : Appl6QxxxxxxS

    DeviceUserAgent : Apple iPhone3C1 / 901,405

    Identità : Meera.Nair@msexchangeguru.comAirSync-iPhone-Appl6QxxxxxxS

Adesso, educare l'utente che questi sono i dispositivi che sono la sincronizzazione con la sua casella di posta e hanno il suo nome utente e la password archiviati. Così, guardare il LastSyncAttemptTime Data e assicurarsi che non è un dispositivo di EAS che sta cercando di autenticarsi lui.

2.Di Apple MobileMe - Sincronizza contatti - Controllare e garantire che l'utente non ha configurato MobileMe per sincronizzare i suoi contatti da Outlook. Se questo è configurato con le credenziali di AD, può essere un motivo per il blocco degli account

3.applicazioni / Le applicazioni Web / Strumenti che la sincronizzazione con Active Directory per l'autenticazione: Avete sentito bene. Ci potrebbero essere applicazioni di terze parti che sono in esecuzione che possono avere username e password AD memorizzati all'interno e molte volte il momento in cui le applicazioni aperte dall'utente come Internet Explorer / del browser, l'applicazione o gli strumenti, cercherà di autenticarsi in background e bloccare la password.

4.Vault per le credenziali nel Pannello di controllo di Windows o manager Credential: Questo è il secondo motivo più ovvio che l'utente potrebbe avere bloccato. Nel mio caso, l'utente ha avuto un portale web intranet SharePoint e le credenziali di AD in cui memorizzate nella cache in Gestione credenziali. Per aprire Gestione delle credenziali:

 

Assicurarsi che le credenziali di Windows zona è vuota


5. nomi utente e password archiviati - Questo non dovrebbe essere un problema nella maggior parte dei casi, ma meglio prevenire che curare. Aprire una finestra e digitare Esegui rundll32.exe keymgr.dll, KRShowKeyMgr e cancellare le password memorizzate eventuali

6.Rinomina AD profilo sulla macchina dell'utente: Questo è più come cercare di risolvere il problema senza sapere quale è la causa. Questo è sotto l'ipotesi che il blocco degli account si verifica quando l'utente è connesso alla sua macchina client. Se il blocco degli account è causato da un'applicazione o “qualcosa” da quella macchina, rinominare il profilo dC sul client da “Documents and Settings in XP e Utenti in Win7", consigliare all'utente di accedere di nuovo e monitorare la situazione.

Ora diamo un'occhiata ad alcuni passaggi di risoluzione dei problemi avanzati.

Utilizzando lo strumento di stato di Microsoft Lockout

  1. Scarica strumento Stato di blocco da http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18465 a una nuova cartella in un computer client.
  2. Dopo aver estratto il file scaricato, si avrà il file qui sotto:

 

3. Aprire LockoutStatus.exe e fare clic su File -> Seleziona oggetto con nome -> Digitare il nome utente e il nome utente Accesso come destinazione Nome utente (quello che sta ottenendo bloccato ) e fare clic su OK come indicato di seguito:

 

030812_1928_Troubleshoo5

Assicurarsi che lo strumento è in esecuzione su qualsiasi macchina

4. Questo sarà quindi elaborare i record attraverso tutti i controller di dominio. È possibile mantenere un occhio vicino sul piantone Bad Conte PWD.

5. Se l'account viene bloccato frequentemente, il numero di password non valida continua ad aumentare. Annotare che GC che indica un conte PWD inappropriato di qualsiasi valore superiore a 0. Si noti inoltre che lo stesso valore sarà indicato dal controller di dominio primario nel dominio che può essere ignorato.

 

In questo caso, Io per accedere al DC01 e tutti i controller di dominio presenti in questo sito e impostare la seguente chiave di registro:

  • Aprire regedit con un account che dispone di autorizzazioni necessarie e passare alla:

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters

  • Creare un nuovo valore DWORD con il nome DBFlag e un valore esadecimale 2080ffff.
6. Una volta che questo è impostato, riavviare il servizio Accesso rete sul DC01 e quindi attendere che il conto al blocco.
7. Una volta che l'account in blocco, garantire che controller di dominio che bloccato l'account di nuovo da LockoutStatus.exe e prendere il file Netlogon.log da C:WindowsDebug.
8. Portare il Netlogon.log al computer client che ha la funzione di blocco di stato installato e NLParse.exe aperta dal blocco Strumenti stato del download.

Fare clic su File -> Aprire e sfogliare la posizione Netlogon.log

 

 

9. Una volta che il file è sfogliati, scelto il 2 codici di stato 0xC000006A e 0xC0000234 e fare clic su Estrai.

Dopo l'estrazione è completa, indicherà un pop-up, come indicato di seguito:

 

10. Ci sarà 2 nuovi file nella posizione del file Netlogon.log nella macchina client - Una nuova CSV e un file di output di riepilogo.

 

11. Aprire il file CSV e filtrare l'Alias ​​utente per il recente blocco:

030812_1928_Troubleshoo12

Ciò indica che DC01 ha ricevuto il blocco da DC07.

In questo caso, è possibile eseguire passaggi 6 a 12 nuovamente DC07 e controllare la macchina che il blocco si verifica da.

Quelle: http://msexchangeguru.com/2012/03/08/ad-lockout/