AD帳戶頻繁被鎖

===問題描述===

用戶反應他的帳戶老是被鎖定，起初鎖定時間一個小時左右，現在已經縮短到了30秒之內

===緣由分析===

形成帳戶鎖定的緣由

1. 經過powershell查看用戶在兩個星期前修改過密碼，這也是形成鎖定的×××

2. 舊的密碼憑據還保留在其餘服務器或者客戶端上，正在嘗試進行某種操做

3. 用戶使用的計算機中了病毒或者有人惡意嘗試密碼

這裏只有他一我的被鎖定了，能夠排除病毒的可能，惡意嘗試不可能什麼時間段都鎖定，也能夠排除

附件上傳了一個查看帳戶鎖定的工具，在DC上將其安裝，輸入被鎖帳戶用戶名密碼就能夠查看用戶鎖定信息、密碼最後修改時間等信息

===事件查看===

默認的日誌對於咱們查看用戶鎖定來講沒有任何參考價值，須要開啓帳戶登陸審覈以及帳戶管理審覈

要在有PDC操做主機上的DC開啓，Netdom query fsmo這條命令查看PDC主機在哪臺DC

1)設置本地策略和組策略均可以，最終的結果都是開啓了本地審覈策略，設置成圖中的選項

2）必須刷新組策略，而後使用auditpol/get /category:*  查看審覈策略是否生效

3）等待問題重現後查看日誌，事件ID爲4740的是帳戶鎖定的日誌

從中能夠看出用戶L70082，鎖定源則是一臺名爲Admin-pc的電腦，這不是被鎖定用戶登陸的計算機

如下說明帳戶解鎖和憑據驗證的事件ID，附圖

帳戶解鎖，事件ID4767，包括管理員手動解鎖和鎖定時間後自動解鎖

用戶憑據驗證，事件ID4776，此事件和4740尤其重要，排查問題主要收集這兩種日誌

===問題排查-排查問題PC===

1）因而就在域OU查找名爲Admin-pc這臺計算機，

2）使用ping命令查看到電腦的IP地址

3）找網絡相關人員查詢PC是什麼部門在使用，即時消息找到部門人員後，開始排查問題，沒有異常的服務和進程，任務計劃中也沒有和鎖定帳戶相關的任務

將用戶計算機也開啓本地審覈策略，等待問題重現後抓取日誌

刷新組策略，auditpol/get /category:*查看策略生效結果

4）開啓登陸事件:能夠看到除了本機用戶以外其餘用戶是否在此計算記進行登陸

   開啓進程跟蹤:記錄用戶計算機每個操做開始和結束，使用的帳戶名稱以及調用的文件

   可是結果並無發現任何L70082(被鎖定帳戶)的線索

5）下班後將其計算機關閉，查看是否還會出現帳戶鎖定現象， 就30秒左右的時間，帳戶仍是被鎖了，源仍是Admin-pc

6）爲了徹底排除這臺計算機的嫌疑，將此計算記更名爲公司規定計算機名稱，鎖定源仍是Admin-PC

===柳暗花明===

1）日誌是不會說謊的，我堅信這一點，在DC上運行以下命令開啓Netlogon debug log（會記錄用戶找DC作驗證和登陸的信息）問題重現後查看日誌，日誌路徑：c:\windows\debug\netlogon.log

若是有多臺DC，詳細查看每臺DC的Netlogon日誌

nltest/dbflag:0x2080ffff

Net Stop NetLogon & Net start Netlogon

日誌文件中找到了些有價值的線索，直接在日誌中用被鎖用戶名做爲查找信息

箭頭所指的意思是Admin-PC使用了L70082這個帳戶訪問了BHAD10的資源

接着往下找找，又看到了一條日誌信息，ADMIN-PC又用L70082訪問了PRINTERCARD這臺服務器

2）通過覈實後，Printercard這臺服務器是管理公司全部打印服務器的，懷疑多是打印機使用之前舊密碼一直進行打印操做，可是管理員一口咬定說這個管理系統會將無效的打印任務自動刪除

3）登陸Printercard這臺服務器，經過微軟的抓包工具Network Monitor

        下載地址 http://www.microsoft.com/en-us/download/details.aspx?id=4865

安裝完成後請點擊「Start Page」中的「New capture tab」新建一個任務;

準備好後，請按界面上的「Start」開始數據的抓取；

以管理員身份運行如下命令：

ipconfig /flushdns

nbtstat –rr 問題重現後，按界面上的Stop中止抓包

4）Netlogon日誌是沒法看到IP地址的，只有經過網絡抓包才能夠找到問題根源

能夠看到源IP爲10.124.90.199，可是我經過ping和telnet命令沒法和這臺計算機通訊，多是防火牆作了什麼設置吧，這個也沒必要太糾結，多是一臺部門用的小型服務器

5）接着上面的排錯，經過網絡表查找到這個地址段是企業文化部的人在使用，找到這臺計算機後用戶說是一臺對外開放的小型服務器，全部開放了防火牆策略，這也就是爲何咱們訪問不到它的緣由，也是這一點給排錯增長了一絲難度

===最後一擊===

因爲此計算機設計機密文件，沒法截圖或拍照，操做很簡單照着文件看一次就懂了

1）以前的日誌信息顯示爲它在聯繫打印服務器，那麼咱們接下來的排錯思路確定是從打印入手，控制面板中找到打印機管理，而後查看打印任務，看到有兩個打印任務是6月7號的這也就是被鎖定用戶修改密碼的時間，之因此一直沒有打印是由於用戶密碼已經被修改過了

2）到這裏我開始猶豫了，密碼到底儲存在哪裏，哈！固然是管理憑據中了，點擊Windows管理憑據，發現裏面確實存儲了L70082的帳戶名和密碼，將其刪除後，帳戶半小時之內沒有再次鎖定。（以前但是30秒就一次的）

===解惑===

導 致此現象出現的緣由是，這臺沒有加入域的計算機想要打印文件，可是必須輸入有權限的域帳戶才能夠，L70082將本身用戶密碼保存在了Admin-PC這 臺計算機的Windows憑據中,方便使用Admin-pc的用戶進行打印任務，L70082修改密碼後，Admin-PC就無法進行打印了，因爲管理憑 據中存有L70082的帳戶密碼，因此打印任務會一直重試，這種現象也不會被管理打印服務器認定爲垃圾打印。

===總結===

爲此我諮詢微軟工程師，帳戶鎖定的問題他們基本沒有使用抓包來解決，解決方法以下:

1）開啓審覈日誌，具體信息上文中提到

2）經過事件ID4740和4776找到鎖定源

3）在鎖定源上開啓登陸事件和進程跟蹤的審覈日誌

4）肯定DC和客戶端的時間是同步的，例如在DC中查看4740日誌發現用戶在10:55:23的時候被鎖定了，

就能夠在客戶端查找相同事件的日誌，查看當時在運行哪些進程。就能夠準確的找到問題的根源！

出現像我寫到的這種特殊狀況時，抓包是最好的解決方法！