Windows 域帐户保持每隔几分钟使用正确密码锁定_Windows_Active Directory_Windows Server 2003

Windows 域帐户保持每隔几分钟使用正确密码锁定

windows active-directory

Windows 域帐户保持每隔几分钟使用正确密码锁定,windows,active-directory,windows-server-2003,Windows,Active Directory,Windows Server 2003,我有一个用户的帐户每30分钟就锁定一次。完成所有检查，删除所有缓存密码，创建新配置文件，从IE中删除密码即使用户正在使用他的帐户（他已登录），它也会锁定在检查了20台服务器后，我发现它们正在运行服务，我想这会导致他的帐户被锁定 675,AUDIT FAILURE,Security,Thu Dec 16 07:54:04 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: userid User ID:

我有一个用户的帐户每30分钟就锁定一次。完成所有检查，删除所有缓存密码，创建新配置文件，从IE中删除密码

即使用户正在使用他的帐户（他已登录），它也会锁定

在检查了20台服务器后，我发现它们正在运行服务，我想这会导致他的帐户被锁定

675,AUDIT FAILURE,Security,Thu Dec 16 07:54:04 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  userid     User ID:  %{id}     Service Name:  krbtgt/DOMAIN     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  IP address

有人知道这是什么吗

krbtgt/DOMAIN     
Key Distribution Center Service Account

请向我解释一下为什么会发生这种情况，以及我如何解决这个问题

675,AUDIT FAILURE,Security,Fri Dec 24 09:13:01 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  172.16.5.1    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x12     Client Address:  172.16.5.102    
644,AUDIT SUCCESS,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,User Account Locked Out:     Target Account Name: user_id    Target Account ID: %{id}     Caller Machine Name: UKNML3266     Caller User Name: LONDON$     Caller Domain: Domain     Caller Logon ID: (0x0,0x3E7)    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.102    
675,AUDIT FAILURE,Security,Fri Dec 24 08:49:06 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.102    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
675,AUDIT FAILURE,Security,Fri Dec 24 08:46:28 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  user_id    User ID:  %{id}     Service Name:  krbtgt/Domain     Pre-Authentication Type: 0x2     Failure Code:  0x18     Client Address:  172.16.5.8    
c:\sc0472\LONDON-Security_LOG.txt contains 8 parsed events.

您需要确保所有服务器上的时钟都正确。Kerberos错误通常是由服务器时钟与域不同步引起的

更新

故障代码0x12非常明确地表示“客户端凭据已被吊销”，这意味着一旦帐户被禁用、过期或锁定，就会发生此错误

如果您认为帐户处于活动状态，则尝试查找以前的错误消息将非常有用-即，此错误消息可能不是根本原因，在此错误之前您将有不同的错误，从而导致帐户被锁定

理想情况下，要获得完整答案，您需要重新激活该帐户，并密切关注日志中在0x12错误消息之前发生的错误。

当用户设置在其帐户下运行计划任务时，我看到了此问题。更改帐户密码后，他忘记更新任务的密码。计划的任务试图使用旧密码登录，并一直锁定他的帐户。

如果您的计算机位于域上，您可以看到Windows password Rescuer Advanced，

我认为这突出了Windows中的一个严重缺陷。我们有一个（techincal）用户帐户，用于我们的系统，该帐户由windows服务和网站组成，应用程序池配置为以该用户身份运行

我们公司有一个安全策略，在5个错误密码后，它会将帐户锁定

现在，在一个企业中，要想找出是什么锁定了帐户几乎是不可能的。当帐户被锁定时，AD服务器应记录导致锁定的进程和服务器

我已经研究过它和它（锁定工具），但它没有这样做。唯一可能的事情是一个工具，但您必须在服务器上运行它，并等待查看是否有任何进程正在这样做。但在一个拥有1000台服务器的企业中，这是不可能的，你不得不猜测。这太疯狂了。

我们刚刚遇到了一个类似的问题，看起来用户在周五和周末重置了密码，周一他一直被锁在门外

原来他忘了更新手机上的密码。

试试这个解决方案

Microsoft支持人员为我们找到了问题。我们的域名帐户是 Windows 7计算机启动时锁定。Windows 7计算机从该域帐户中有一个隐藏的旧密码。有可以存储在无法查看的系统上下文中的密码在普通凭据管理器视图中

从下载并复制PsExec.exe 将其发送到

C:\Windows\System32

从命令提示符运行：

psexec-i-s-d cmd.exe

从新的DOS窗口运行：

rundll32 keymgr.dll，KRShowKeyMgr

删除存储的用户名和密码列表中显示的所有项目。重新启动计算机

可能是名为CONFLICKER的病毒，请在计算机上尝试symantec提供的d.exe工具，希望您的问题得到解决。检查域控制器中的安全日志并扫描这些计算机，因为该病毒会创建错误密码并锁定用户。

下载。使用

LockoutStatus

查找未对有问题的用户进行预验证的最后一个DC。注意日期和时间。登录该DC，找到该时间段并检查客户端地址。

从那些服务器注销。

最后我发现了我的问题。SQL Reporting Service导致我的帐户锁定。停止并重试，在确认不再有密码错误尝试后，我应该重新配置reporting services服务帐户--不在服务属性，它在reporting service自己的配置中--。

是什么导致帐户锁定的。很少有用户在成功登录时保持帐户锁定。本地计算机时间与域时间不同-这称为KERBEROS安全检查。基本上，如果您认为本地计算机上的时间是下午5点，而域服务器认为是下午5点05分-这将作为安全约束对您造成影响。我已检查了本地pc上的时间以及与之连接的pc所在的域。是否有其他原因导致此情况发生请参阅更新以回答，它提供了更多信息。它锁定了每天不同的时间，例如上午的一天和中午或中午后的另一天。有时几天内不会发生任何事情，但即使用户成功登录，它也会自动开始锁定。为什么需要将其放在C:\Windows\System32？您知道，我在网上发布了一个关于这个的问题。没有人能回答这个问题，所以他们把我的帖子关闭了。这似乎解决了我的问题。@彼得，这样你就不必编写PsExec.exe的完整路径了。当然，还有其他方法可以实现这种行为。您可以将这些步骤简化为

psexec-i-s rundll32 keymgr.dll，KRShowKeyMgr

Answer对我有效。我的问题是，每当我们网络上的某台计算机重新启动时（在任何用户登录之前），我们广告上的某个用户的帐户就会被锁定。当查看wireshark跟踪时，我们发现是该特定用户上的kerberos预验证导致了问题。直到今天，我们仍然不知道哪个服务或应用程序使用了过时的密码，但当我们按照答案所示从密钥管理器中清除条目时，问题就消失了。谢谢顺便说一句，为了确定是哪个服务导致了t