Аккаунт AD заблокирован

633
Sun Cleverland

У нас есть служебная учетная запись в нашей среде AD (Windows 2003), которая часто блокируется.

некоторая справочная информация:

  • Домен Windows 2003
  • срок действия учетной записи не истекает
  • мы никогда не меняли пароль этой учетной записи
  • Интервал между каждым разом, когда я разблокирую аккаунт, абсолютно случайный.

Иногда учетная запись работает нормально в течение недели или двух без каких-либо проблем; в другой раз он снова блокируется через день после разблокировки

Сначала я подумал, что учетная запись может использоваться процессом или заданием по расписанию или чем-то, что имеет неверно настроенный пароль. Я проверил журналы безопасности на всех контроллерах домена, но ничего не нашел. Я также попробовал Microsoft Lock Lock Tool, но тоже не повезло.

Мы проверили внутренний сетевой трафик (предполагая, что блокировка инициирована сервером / конечной машиной), но не смогли найти недопустимую попытку входа в систему с использованием этой учетной записи.

У нас есть много других учетных записей служб в той же среде AD, и ни одна из них не имеет такой же проблемы.

Я действительно исчерпываю подсказку .... любая помощь очень ценится!

Большое спасибо!

0
дополнительная информация - я считаю, что это как-то связано с датой истечения срока действия (даже если она никогда не истекает), поэтому я попытался назначить ей дату истечения срока действия, такую ​​как 31 декабря 2050 года, но это ничего не изменило. Аккаунт снова заблокировали через несколько дней после того, как я разблокировал его в прошлый раз. Sun Cleverland 7 лет назад 0
Поэтому, когда вы говорите ** У нас есть служебная учетная запись в нашей среде AD (Windows 2003), которая часто блокируется **, но вы не можете найти что-либо релевантное для этого имени входа в журналах просмотра событий безопасности всех контроллеров домена ... Что является индикатором того, что аккаунт заблокирован? Что-то не работает с этой службой, и если да, то для чего вы ее используете, например, для автоматизации FTP, какая-то серверная служба что-то делает и т. Д. Я предполагаю, что кто-то не просто видит команды пользователей AD и компьютера или NET USER, поэтому приведу небольшое объяснение по крайней мере, что этот сервер касается ресурсов домена и функций. Pimp Juice IT 7 лет назад 0
это служебная учетная запись, используемая для резервного копирования. Как только он заблокирован, задание резервного копирования не будет выполнено. Эта учетная запись использовалась службой резервного копирования в течение многих лет, и проблема возникла только несколько месяцев назад. При условии, что ничего не изменилось и в задании резервного копирования, и, как я уже упоминал, пароль не был изменен и для этой учетной записи ... если он заблокирован из-за неверной попытки входа в систему, в средстве просмотра событий должно быть что-то зарегистрированное. Sun Cleverland 7 лет назад 0
Что сообщение об ошибке в вашем программном обеспечении для резервного копирования говорит, когда происходит сбой, и что вы используете программное обеспечение мудро, как ArcServe. и т. д. и выполняется ли резервное копирование по сети или через какого-либо агента клиента? Я предполагаю, что задание резервного копирования не выполняется на разных серверах, а не только на одном, так что в этом нет ничего общего? Pimp Juice IT 7 лет назад 0
Это ArcServe. Сообщение «Запрос отклонен агентом. Неверное имя пользователя или пароль (Node = machinename @ IPaddress)». Поскольку задания долгое время не изменялись (новые узлы не добавлялись), в течение многих лет используется одна и та же комбинация «учетная запись / пароль». И как описано, это происходит случайным образом. Если одно из заданий резервного копирования имеет неправильное имя пользователя / пароль, я предполагаю, что блокировка должна происходить регулярно (все задания выполняются еженедельно или ежедневно в определенное запланированное время). Странная часть этой запертой вещи - иногда мы можем работать без проблем в течение недели или двух Sun Cleverland 7 лет назад 0
Sun. Будучи знакомым с ArcServe Backup, я думаю, что ** 1. ** проверьте, чтобы подтвердить, что версии клиентских агентов на машинах и ArcServe Server имеют совместимые версии (или обратитесь в службу поддержки, чтобы подтвердить, если можете и нуждаетесь. на всякий случай "дважды проверил очевидное: https://arcserve.zendesk.com/hc/en-us/articles/202872585-E8533-The-request-is-denied-by-the-agent-The-username-and или все перечисленные здесь параметры, конфигурации и т. д., включая параметры локальной политики безопасности. Это файловый сервер, почтовый сервер или сервер, на котором происходит сбой? мудрый? Pimp Juice IT 7 лет назад 0
Спасибо за ваш вклад. Я проверяю ссылку, которую вы мне дали. извините, я не очень знаком с ArcServe. В то же время, я также читаю один из журнала arcserve univag.log и каким-то образом я могу определить временной интервал, когда произошла блокировка. В журнале есть строка с надписью «Ошибка входа в систему, попробуйте снова rc = 1909». Я немного искал, но не смог найти никакой информации об этом rc = 1909. интересно, есть ли у вас какая-либо подсказка? Sun Cleverland 7 лет назад 0

1 ответ на вопрос

0
user270460

Чтобы выяснить причину блокировки учетной записи, необходимо настроить параметр расширенной политики аудита. Это поможет вам отслеживать и проверять события входа в систему в GPO. После того, как вы успешно настроили политику, вы можете запросить в журнале событий безопасности идентификатор события 4740. Пожалуйста, обратитесь к статье ниже, которая обобщает информацию в деталях - https://community.spiceworks.com/how_to/128213-identify-the- источник-оф-счетов-локаутами-в-активной директории

Добро пожаловать в Супер пользователя. Можете ли вы предоставить инструкции о том, как настроить параметр политики и что искать в событии с кодом 4740? Хотя ссылки на исходный материал полезны и поощряются, на этом сайте вопросов и ответов мы ценим четкие ответы, которые остаются полезными даже в случае разрыва внешних ссылок. Спасибо за помощь. Twisty Impersonator 7 лет назад 0
я проверил журнал аудита, но не было сбоя события безопасности с использованием этой конкретной учетной записи. Я также попытался заблокировать учетную запись Microsoft, которая снова ничего не нашла. Я хочу знать, возможно ли, что учетная запись фактически не используется какой-либо программой / скриптом, но сама AD как-то истекает (хотя срок действия учетной записи не истек) Sun Cleverland 7 лет назад 0

Похожие вопросы