Rozwiązywanie problemów blokady konta katalog Aktywne

AD / Exchange Pro jest często napotykają problem, dla których niewiele jest dokumentacja dostępna w Internecie - blokady konta użytkownika.

wiem to, bo zostały rozwiązywania problemów blokady konta problemu na chwilę z minimalną pomocą. Więc, jedziemy - Mój przewodnik dla rozwiązywania problemów Active Directory blokady konta

Przed wejściem do trybu zaawansowanego rozwiązywania problemów, musimy zapewnić omówimy wszystkie podstawy:

  1. Urządzenia mobilne Exchange ActiveSync
  2. Jabłko MobileMe - Kontakty synchronizowane
  3. Aplikacje / Aplikacje internetowe / narzędzi, które Synchronizacja z Active Directory w celu uwierzytelnienia
  4. Sklepienie o poświadczenia w Panelu sterowania systemu Windows lub Menedżer poświadczeń
  5. Przechowywane nazwy użytkowników i hasła - rundll32.exe keymgr.dll, KRShowKeyMgr
  6. Zmiana nazwy AD profilu na komputerze użytkownika

Spójrzmy na siebie w szczegółach:

  1. Urządzenia mobilne Exchange ActiveSync - Urządzenia Tak EAS, Sprzęt i urządzenia EAS EAS. 80% w kwestii blokady konta są spowodowane przez "nieznane" urządzenia próbuje zsynchronizować ze skrzynką pocztową programu Exchange, a kiedy zapyta użytkownika mawiał - "Co masz na myśli urządzenia mobilnego - Mówiłem już ya" ... J

    Nie słuchaj użytkownika:

    W programie Exchange Management Shell uruchomić to:

    Get-ActiveSyncDeviceStatistics -Mailbox MeeraNair

    To będzie powrót wszystkie urządzenia użytkownik korzysta teraz i obok urządzeń, które zostały nawiązane połączenie z serwerem Exchange, co najmniej raz.

    FirstSyncTime : 5/3/2011 2:52:38 RANO

    LastPolicyUpdateTime : 3/8/2012 3:32:24 PO POŁUDNIU

    LastSyncAttemptTime : 3/8/2012 6:11:53 PO POŁUDNIU

    LastSuccessSync : 3/8/2012 6:11:53 PO POŁUDNIU

    Rodzaj urządzenia : iPhone

    Identyfikator urzadzenia : Appl6DxxxxxxS

    DeviceUserAgent : Apple iPhone3C1 / 901405

    Tożsamość : Meera.Nair@msexchangeguru.comAirSync-iPhone-Appl6DxxxxxxS

     

    FirstSyncTime : 7/7/2011 1:38:44 RANO

    LastPolicyUpdateTime : 3/8/2012 6:14:20 PO POŁUDNIU

    LastSyncAttemptTime : 3/8/2012 7:34:09 PO POŁUDNIU

    LastSuccessSync : 3/8/2012 7:34:09 PO POŁUDNIU

    Rodzaj urządzenia : iPhone

    Identyfikator urzadzenia : Appl6QxxxxxxS

    DeviceUserAgent : Apple iPhone3C1 / 901405

    Tożsamość : Meera.Nair@msexchangeguru.comAirSync-iPhone-Appl6QxxxxxxS

Teraz, edukować użytkownika, że ​​są to urządzenia, które są synchronizowane z jego skrzynki pocztowej i mają jego nazwy użytkownika i hasła przechowywane. Więc, spojrzeć na LastSyncAttemptTime i upewnij się, że nie jest to urządzenie, które EAS próbuje go uwierzytelnić.

2.Jabłko MobileMe - Kontakty synchronizowane - Sprawdzić i upewnić się, że użytkownik nie ustawił MobileMe synchronizować swoje kontakty z Outlook. Jeśli to jest skonfigurowany z poświadczeniami AD, może to być powodem blokady konta

3.Aplikacje / Aplikacje internetowe / narzędzi, które Synchronizacja z Active Directory w celu uwierzytelnienia: Słyszeliście prawo. Nie może być innych aplikacji, które są uruchomione, które mogą mieć AD nazwę użytkownika i hasło przechowywane wewnątrz i wiele razy tej chwili użytkownik otworzy aplikacji, takich jak Internet Explorer / przeglądarka, aplikacji lub narzędzia, będzie starał się uwierzytelnić w tle i zablokować hasło.

4.Sklepienie o poświadczenia w Panelu sterowania systemu Windows lub Menedżer poświadczeń: Jest to drugi najbardziej oczywistym powodem, użytkownik może uzyskać zablokowane. W moim przypadku, użytkownik miał portal intranetowy SharePoint i poświadczenia AD którym buforowane w Menedżer poświadczeń. Aby otworzyć Menedżer poświadczeń:

 

Upewnij się, że poświadczenia systemu Windows obszar jest pusty


5. Przechowywane nazwy użytkowników i hasła - Nie powinno to być problemem w większości przypadków, ale lepiej dmuchać na zimne. Otwórz okna i run typ rundll32.exe keymgr.dll, KRShowKeyMgr i usuwanie zapisanych haseł Jeśli jakakolwiek

6.Zmiana nazwy AD profilu na komputerze użytkownika: To jest bardziej jak stara się rozwiązać ten problem, nie wiedząc, co jest przyczyną jej. To przy założeniu, że blokada konta dzieje, gdy użytkownik jest zalogowany na swoim komputerze klienckim. Jeśli blokada konta jest spowodowany z aplikacji lub "coś" z tym komputerze, zmienić nazwę profilu ad na kliencie z "Documents and Settings w XP i użytkowników w Win7", doradzić użytkownikowi zalogować się ponownie i monitorowanie sytuacji.

Teraz spójrzmy na niektórych zaawansowanych procedur rozwiązywania problemów.

Za pomocą narzędzia Microsoft stanu blokowania

  1. Pobierz narzędzie blokady Status z http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18465 na nowym folderze na komputerze klienckim.
  2. Po rozpakowaniu pobranego pliku, masz pliki poniżej:

 

3. Otwarty LockOutStatus.exe i kliknij Plik -> Wybierz docelowy jako -> Wpisz nazwę użytkownika i nazwę logowania użytkownika jako cel Nazwa użytkownika (ten, który jest uzyskiwanie zablokowane ) i kliknij OK, jak wskazano poniżej:

 

030812_1928_Troubleshoo5

Należy upewnić się, że narzędzie działa na każdym komputerze

4. To z kolei będzie przetwarzać rekordy przez wszystkie kontrolery domeny. Można uważnie śledzić na kolumnie Bad PWD hrabiego.

5. Jeśli konto zostanie zablokowane częściej, liczba Bad Hasło stale wzrasta. Zanotuj tym GC, który informuje o złym PWD hrabiego dowolnej wartości ponad 0. Należy również pamiętać, że ta sama wartość zostanie wskazana przez podstawowego kontrolera domeny w domenie, które mogą być ignorowane.

 

W tym przypadku, Będę się zalogować, aby DC01 i wszystkich kontrolerów domeny w tym miejscu ustawić następujące rejestru:

  • Otwórz regedit z konta, które ma niezbędne uprawnienia i przejść do:

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters

  • Utwórz nową wartość DWORD o nazwie dbflag a wartość szesnastkowa 2080ffff.
6. Po ustawieniu, ponownie uruchomić usługę Netlogon na DC01, a następnie czekać na koncie, aby zablokować.
7. Po oderwaniu zamków, upewnić się, że kontroler domeny, który zablokowanej konto ponownie od LockoutStatus.exe i wziąć plik Netlogon.log z C:WindowsDebug.
8. Doprowadzić Netlogon.log na komputerze klienckim, który ma zainstalowane narzędzie blokowania statusu i otwartą nlparse.exe od stanu blokady Narzędzia pobrania.

Kliknij File -> Otwieranie i przeglądanie lokalizacji Netlogon.log

 

 

9. Gdy plik jest przeglądany, wybrał 2 Kody stanu 0xC000006A i 0xC0000234 i kliknij Extract.

Po rozpakowaniu, będzie to oznaczać, pop-up, jak wskazano poniżej:

 

10. Tam będzie 2 Nowe pliki w lokalizacji pliku Netlogon.log w komputerze klienta - nowy plik CSV i wyjście podsumowanie.

 

11. Otwórz plik CSV i filtrować Alias ​​użytkownika za niedawne blokady:

030812_1928_Troubleshoo12

Oznacza to, że DC01 otrzymał blokadę z DC07.

W tym przypadku, można wykonać kroki 6 do 12 ponownie DC07 i sprawdzić maszynę, że blokada występuje od.

tych: http://msexchangeguru.com/2012/03/08/ad-lockout/

0 odpowiedzi do “Rozwiązywanie problemów blokady konta katalog Aktywne

  1. w moim przypadku było to centrum rozwiązań Lenovo

    Komputer usiłował zweryfikować poświadczenia dla konta.

    Pakiet uwierzytelniania: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Logowanie do konta: thomas.mosandl
    Źródło Workstation: LR9KW7AN
    Kod błędu: 0xc0000064

    biegnę aktualizacji a teraz jest stałe

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *