AD / Обмен про это часто сталкиваются с проблемой для которой имеется мало документации доступны в Интернете - локауты учетной записи пользователя.
я знаю это, потому что я был устранении блокировки проблемы учетной записи на некоторое время с минимальной помощью. Так, здесь мы идем - Мой гид для устранения неполадок блокировки учетных записей Active Directory
Перед входом в режим расширенного поиска неисправностей, мы должны гарантировать, что мы охватить все основы:
- Exchange ActiveSync мобильные устройства
- Apple, MobileMe - контакты синхронизации
- Приложения / Веб-приложения / инструменты, которые синхронизации с Active Directory для аутентификации
- Vault учетных данных в панели управления Windows или Credential Manager
- Сохраненные имена пользователей и пароли - rundll32.exe keymgr.dll, KRShowKeyMgr
-
Переименовать AD Профиль на пользовательской машине
Давайте посмотрим на каждый в деталях:
-
Exchange ActiveSync мобильные устройства - устройства Да EAS, EAS устройства и устройства EAS. 80% учета проблемы блокировки вызваны "неизвестное" устройство пытается выполнить синхронизацию с почтовым ящиком Exchange, и когда вы попросите пользователя, он бы сказал - «Что вы имеете в виду мобильное устройство - я уже сказал я" ... J
Не слушайте пользователя:
В Exchange Management Shell запустить эту:
Get-ActiveSyncDeviceStatistics -Mailbox MeeraNair
Это будет возвращать все устройства, пользователь использует прямо сейчас, и в прошлом устройств, которые установили связь с обменом по крайней мере один раз.
FirstSyncTime : 5/3/2011 2:52:38 AM
LastPolicyUpdateTime : 3/8/2012 3:32:24 ВЕЧЕРА
LastSyncAttemptTime : 3/8/2012 6:11:53 ВЕЧЕРА
LastSuccessSync : 3/8/2012 6:11:53 ВЕЧЕРА
Тип устройства : iPhone
Идентификатор устройства : Appl6DxxxxxxS
DeviceUserAgent : Apple, iPhone3C1 / 901405
идентичность : Meera.Nair@msexchangeguru.comAirSync-iPhone-Appl6DxxxxxxS
FirstSyncTime : 7/7/2011 1:38:44 AM
LastPolicyUpdateTime : 3/8/2012 6:14:20 ВЕЧЕРА
LastSyncAttemptTime : 3/8/2012 7:34:09 ВЕЧЕРА
LastSuccessSync : 3/8/2012 7:34:09 ВЕЧЕРА
Тип устройства : iPhone
Идентификатор устройства : Appl6QxxxxxxS
DeviceUserAgent : Apple, iPhone3C1 / 901405
идентичность : Meera.Nair@msexchangeguru.comAirSync-iPhone-Appl6QxxxxxxS
Теперь, обучить пользователей, что это те устройства, которые синхронизируются с его почтовым ящиком и у них есть его имя пользователя и пароль, хранящийся. Так, посмотреть на LastSyncAttemptTime и убедитесь, что он не является EAS устройство, которое пытается проверить подлинность его.
2.Apple, MobileMe - Контакты синхронизации - Проверьте и убедитесь, что пользователь не настроен MobileMe синхронизировать свои контакты из Outlook,. Если это настраивается с учетными данными AD, это может быть причиной для блокировки учетной записи
3.Приложения / Веб-приложения / инструменты, которые синхронизации с Active Directory для аутентификации: Вы слышали это правильно. Там могут быть приложения сторонних производителей, которые бегут, которые могут иметь AD имя пользователя и пароль хранятся внутри и много раз в тот момент, пользователь должен открыть приложения, такие как Интернет-исследователя / браузер, приложение или инструменты, он будет пытаться проходить проверку подлинности в фоновом режиме и заблокировать пароль.
4.Vault учетных данных в панели управления Windows или Credential Manager: Это вторая самая очевидная причина, по которой пользователь может получить заблокирована. В моем случае, пользователь имел веб-портал интрасети SharePoint и учетные данные AD, где кэшируются в Credential Manager. Чтобы открыть диспетчер учетных данных:
Убедитесь, что учетные данные Windows, площадь пуста
5. Сохраненные имена пользователей и пароли - Это не должно быть проблемой в большинстве случаев, но лучше, чем потом сожалеть. Откройте Заурядный окна и тип rundll32.exe keymgr.dll, KRShowKeyMgr и удалить сохраненные пароли если таковые имеются
6.Переименовать AD Профиль на пользовательской машине: Это больше похоже на попытку решить проблему, не зная, что вызывает его. Это при условии, что блокировка учетной записи происходит, когда пользователь вошел в его машине клиента. Если блокировка учетной записи вызывается из приложения или "что-то" из этой машины, переименовать профиль AD на клиенте из "Мои документы в XP и пользователей в Win7", рекомендовать пользователю снова войти в систему и следить за развитием ситуации.
Теперь давайте посмотрим на некоторые дополнительные шаги по устранению неполадок.
С помощью инструмента Статус Microsoft Lockout
- Скачать Lockout Состояние инструмента из http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18465 на новую папку в компьютере клиента.
- После извлечения загруженного файла, вы будете иметь файлы ниже:
3. Открыть LockOutStatus.exe и нажмите Файл -> Выберите Target As -> Введите имя пользователя и входа пользователя в систему Имя как Target Имя пользователя (тот, который становится заблокирован ) и нажмите кнопку OK, как показано ниже:
Пожалуйста, убедитесь, что инструмент работает на любом компьютере
4. Это будет обрабатывать записи через все контроллеры домена. Вы можете держать закрыть глаза на колонку Bad PWD Count.
5. Если учетная запись блокируется из часто, счетчик Bad Пароль продолжает расти. Запишите этот GC, который указывает Bad PWD графа любое значение больше, чем 0. Также обратите внимание, что такое же значение будет указано основного контроллера домена в домене, который может быть проигнорировано.
В этом случае, Я войти в DC01 и все контроллеры домена в этом сайте и установить следующий раздел реестра:
-
Откройте редактор реестра с помощью учетной записи, которая имеет необходимые разрешения и перейти к:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters
-
Создайте новый параметр DWORD с именем DBFLAG и шестнадцатеричное значение 2080FFFF.
Нажмите Файл -> Открыть и просмотреть расположение Netlogon.log
9. После того как файл просмотра, выбрал 2 Коды состояния 0xC000006A и 0xC0000234 и нажмите кнопку Извлечь.
После завершения извлечения, это будет означать всплывающее окно, как показано ниже:
10. Будут 2 новые файлы в месте расположения файла Netlogon.log в клиентской машине - Новый CSV и резюме выходного файла.
11. Откройте файл CSV и фильтровать пользовательский псевдоним для недавнего локаута:
Это указывает на то, что DC01 получил локаут от DC07.
В этом случае, Вы можете выполнить шаги 6 к 12 снова на DC07 и проверить машину, что локаут происходит от.