Mosandl

Устранение проблем блокировки учетных записей Active Справочник

от автора

Томас Mosandl

AD / Обмен про это часто сталкиваются с проблемой для которой имеется мало документации доступны в Интернете - локауты учетной записи пользователя.

я знаю это, потому что я был устранении блокировки проблемы учетной записи на некоторое время с минимальной помощью. Так, здесь мы идем - Мой гид для устранения неполадок блокировки учетных записей Active Directory

Перед входом в режим расширенного поиска неисправностей, мы должны гарантировать, что мы охватить все основы:

  1. Exchange ActiveSync мобильные устройства
  2. Apple, MobileMe - контакты синхронизации
  3. Приложения / Веб-приложения / инструменты, которые синхронизации с Active Directory для аутентификации
  4. Vault учетных данных в панели управления Windows или Credential Manager
  5. Сохраненные имена пользователей и пароли - rundll32.exe keymgr.dll, KRShowKeyMgr
  6. Переименовать AD Профиль на пользовательской машине

Давайте посмотрим на каждый в деталях:

  1. Exchange ActiveSync мобильные устройства - устройства Да EAS, EAS устройства и устройства EAS. 80% учета проблемы блокировки вызваны "неизвестное" устройство пытается выполнить синхронизацию с почтовым ящиком Exchange, и когда вы попросите пользователя, он бы сказал - «Что вы имеете в виду мобильное устройство - я уже сказал я" ... J

    Не слушайте пользователя:

    В Exchange Management Shell запустить эту:

    Get-ActiveSyncDeviceStatistics -Mailbox MeeraNair

    Это будет возвращать все устройства, пользователь использует прямо сейчас, и в прошлом устройств, которые установили связь с обменом по крайней мере один раз.

    FirstSyncTime : 5/3/2011 2:52:38 AM

    LastPolicyUpdateTime : 3/8/2012 3:32:24 ВЕЧЕРА

    LastSyncAttemptTime : 3/8/2012 6:11:53 ВЕЧЕРА

    LastSuccessSync : 3/8/2012 6:11:53 ВЕЧЕРА

    Тип устройства : iPhone

    Идентификатор устройства : Appl6DxxxxxxS

    DeviceUserAgent : Apple, iPhone3C1 / 901405

    идентичность : Meera.Nair@msexchangeguru.comAirSync-iPhone-Appl6DxxxxxxS

     

    FirstSyncTime : 7/7/2011 1:38:44 AM

    LastPolicyUpdateTime : 3/8/2012 6:14:20 ВЕЧЕРА

    LastSyncAttemptTime : 3/8/2012 7:34:09 ВЕЧЕРА

    LastSuccessSync : 3/8/2012 7:34:09 ВЕЧЕРА

    Тип устройства : iPhone

    Идентификатор устройства : Appl6QxxxxxxS

    DeviceUserAgent : Apple, iPhone3C1 / 901405

    идентичность : Meera.Nair@msexchangeguru.comAirSync-iPhone-Appl6QxxxxxxS

Теперь, обучить пользователей, что это те устройства, которые синхронизируются с его почтовым ящиком и у них есть его имя пользователя и пароль, хранящийся. Так, посмотреть на LastSyncAttemptTime и убедитесь, что он не является EAS устройство, которое пытается проверить подлинность его.

2.Apple, MobileMe - Контакты синхронизации - Проверьте и убедитесь, что пользователь не настроен MobileMe синхронизировать свои контакты из Outlook,. Если это настраивается с учетными данными AD, это может быть причиной для блокировки учетной записи

3.Приложения / Веб-приложения / инструменты, которые синхронизации с Active Directory для аутентификации: Вы слышали это правильно. Там могут быть приложения сторонних производителей, которые бегут, которые могут иметь AD имя пользователя и пароль хранятся внутри и много раз в тот момент, пользователь должен открыть приложения, такие как Интернет-исследователя / браузер, приложение или инструменты, он будет пытаться проходить проверку подлинности в фоновом режиме и заблокировать пароль.

4.Vault учетных данных в панели управления Windows или Credential Manager: Это вторая самая очевидная причина, по которой пользователь может получить заблокирована. В моем случае, пользователь имел веб-портал интрасети SharePoint и учетные данные AD, где кэшируются в Credential Manager. Чтобы открыть диспетчер учетных данных:

 

Убедитесь, что учетные данные Windows, площадь пуста


5. Сохраненные имена пользователей и пароли - Это не должно быть проблемой в большинстве случаев, но лучше, чем потом сожалеть. Откройте Заурядный окна и тип rundll32.exe keymgr.dll, KRShowKeyMgr и удалить сохраненные пароли если таковые имеются

6.Переименовать AD Профиль на пользовательской машине: Это больше похоже на попытку решить проблему, не зная, что вызывает его. Это при условии, что блокировка учетной записи происходит, когда пользователь вошел в его машине клиента. Если блокировка учетной записи вызывается из приложения или "что-то" из этой машины, переименовать профиль AD на клиенте из "Мои документы в XP и пользователей в Win7", рекомендовать пользователю снова войти в систему и следить за развитием ситуации.

Теперь давайте посмотрим на некоторые дополнительные шаги по устранению неполадок.

С помощью инструмента Статус Microsoft Lockout

  1. Скачать Lockout Состояние инструмента из http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18465 на новую папку в компьютере клиента.
  2. После извлечения загруженного файла, вы будете иметь файлы ниже:

 

3. Открыть LockOutStatus.exe и нажмите Файл -> Выберите Target As -> Введите имя пользователя и входа пользователя в систему Имя как Target Имя пользователя (тот, который становится заблокирован ) и нажмите кнопку OK, как показано ниже:

 

030812_1928_Troubleshoo5

Пожалуйста, убедитесь, что инструмент работает на любом компьютере

4. Это будет обрабатывать записи через все контроллеры домена. Вы можете держать закрыть глаза на колонку Bad PWD Count.

5. Если учетная запись блокируется из часто, счетчик Bad Пароль продолжает расти. Запишите этот GC, который указывает Bad PWD графа любое значение больше, чем 0. Также обратите внимание, что такое же значение будет указано основного контроллера домена в домене, который может быть проигнорировано.

 

В этом случае, Я войти в DC01 и все контроллеры домена в этом сайте и установить следующий раздел реестра:

  • Откройте редактор реестра с помощью учетной записи, которая имеет необходимые разрешения и перейти к:

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters

  • Создайте новый параметр DWORD с именем DBFLAG и шестнадцатеричное значение 2080FFFF.
6. После того, как это установлено, перезапустить службу Netlogon на DC01, а затем ждать Счет заблокирует.
7. Как только счет блокируется, убедитесь, что контроллер домена, который заблокированной счет снова от LockoutStatus.exe и возьмите Netlogon.log файл из C:WindowsDebug.
8. Принесите Netlogon.log на клиентской машине, которая имеет инструмент блокировки Status установлен и откройте nlparse.exe из инструментов блокировки состояния загрузки.

Нажмите Файл -> Открыть и просмотреть расположение Netlogon.log

 

 

9. После того как файл просмотра, выбрал 2 Коды состояния 0xC000006A и 0xC0000234 и нажмите кнопку Извлечь.

После завершения извлечения, это будет означать всплывающее окно, как показано ниже:

 

10. Будут 2 новые файлы в месте расположения файла Netlogon.log в клиентской машине - Новый CSV и резюме выходного файла.

 

11. Откройте файл CSV и фильтровать пользовательский псевдоним для недавнего локаута:

030812_1928_Troubleshoo12

Это указывает на то, что DC01 получил локаут от DC07.

В этом случае, Вы можете выполнить шаги 6 к 12 снова на DC07 и проверить машину, что локаут происходит от.

те: HTTP://msexchangeguru.com/2012/03/08/ad-lockout/