Compte AD qui se verrouille tout seul plusieurs fois par jour

Toutes les réponses

• 

  

  1

  Connectez-vous pour voter

  
  

  C'est comme si en arrière plan un programme essyait de rentrer le mauvais mot de passe plusieurs fois. Mais quel programme ferait ça ?

  
  

  Bonjour,

  Est-ce que le problème s'identifie sur un autre poste du domaine, avec le compte utilisateur de la personne en question?

  
  Autre chose, avez-vous mis en place une stratégie d'audit avancé sur votre environnement? Peut-être que celui pourra vous donner plus d'informations en rapport au compte.
  

  • Modifié a-d-haine lundi 28 septembre 2015 15:30

  lundi 28 septembre 2015 15:25
• 

  

  1

  Connectez-vous pour voter

  Merci de votre réponse. 

  Pour le moment je n'ai rencontré le problème que sur ce poste ci. 

  Nous n'avons pas de stratégie d'audit avancé - comment peut-on mettre cela en place ?

  lundi 28 septembre 2015 16:56
• 

  

  1

  Connectez-vous pour voter

  Voici un des logs : 

  Échec d’ouverture de session d’un compte.
  
  Sujet :
  ID de sécurité : SYSTEM
  Nom du compte : CMMDCXX$
  Domaine du compte : XXX
  ID d’ouverture de session : 0x3e7
  
  Type d’ouverture de session : 3
  
  Compte pour lequel l’ouverture de session a échoué :
  ID de sécurité : NULL SID
  Nom du compte : xvennju
  Domaine du compte : XXX
  
  Informations sur l’échec :
  Raison de l’échec : Nom d’utilisateur inconnu ou mot de passe incorrect.
  État : 0xc000006d
  Sous-état : 0xc000006a
  
  Informations sur le processus :
  ID du processus de l’appelant : 0x1d8
  Nom du processus de l’appelant : C:\Windows\System32\svchost.exe
  
  Informations sur le réseau :
  Nom de la station de travail :
  Adresse du réseau source : -
  Port source : -
  
  Informations détaillées sur l’authentification :
  Processus d’ouverture de session : CHAP
  Package d’authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  Services en transit : -
  Nom du package (NTLM uniquement) : -
  Longueur de clé : 0
  
  Cet événement est généré lorsqu’une demande d’ouverture de session échoue. Il est généré sur l’ordinateur sur lequel l’accès a été tenté.
  
  Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
  
  Le champ Type d’ouverture de session indique le type d’ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).
  
  Les champs relatifs aux informations sur le processus indiquent quel est le compte et le processus sur le système qui ont demandé l’ouverture de session.
  
  Les champs relatifs aux informations sur le réseau indiquent la provenance de la demande d’ouverture de session distante. Le nom de la station de travail n’étant pas toujours disponible, peut rester vide dans certains cas.
  
  Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
  - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
  - Le nom du package indique quel a été le sous-protocole qui a été utilisé parmi les protocoles NTLM.
  - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.

  lundi 28 septembre 2015 20:06
• 

  

  1

  Connectez-vous pour voter

  Ou encore : 

  La pré-authentification Kerberos a échoué.
  
  Informations sur le compte :
  ID de sécurité : CXX\xvennju
  Nom du compte : xvennju
  
  Informations sur le service :
  Nom du service : krbtgt/CMM
  
  Informations sur le réseau :
  Adresse du client : ::ffff:192.168.19.41
  Port client : 59916
  
  Informations supplémentaires :
  Options du ticket : 0x40810010
  Code d’échec : 0x18
  Type de pré-authentification : 2
  
  Informations sur le certificat :
  Nom de l’émetteur du certificat :
  Numéro de série du certificat :
  Empreinte numérique du certificat :
  
  Les informations sur le certificat ne sont fournies que si un certificat a été utilisé pour la pré-authentification.
  
  Les types de pré-authentification, les options de ticket et les codes d’échec sont définis dans la RFC 4120.
  
  Si le ticket, ayant été mal formé ou endommagé en cours du transit, n’a pas pu être déchiffré, il est possible que de nombreux champs de cet événement ne soient pas présents.

  lundi 28 septembre 2015 21:11
• 

  

  1

  Connectez-vous pour voter

  Pouvez-vous vérifier au niveau de la synchronisation de l'horloge entre le poste et votre domaine? Est-ce qu'il y a un décalage horaire important?

  mardi 29 septembre 2015 07:36
• 

  

  1

  Connectez-vous pour voter

  Non pas de décallage, 

  Par contre je vois que le problème s'est déclaré après l'installation de DropBox.

  Y-aurait-il une coïncidence ?

  mardi 29 septembre 2015 15:40
• 

  

  1

  Connectez-vous pour voter

  L'idéal, afin de balayer les éventuels problèmes, si vous pensez que cela vient à la suite d'une installation de DropBox, serait de désactiver les services liés au logiciel.
  
  

  • Modifié a-d-haine mercredi 30 septembre 2015 09:56

  mercredi 30 septembre 2015 09:11
• 

  

  1

  Connectez-vous pour voter

  Avez vous plus d'un contrôleur de domaine dans votre environnement ? si oui, essayez de fixer l'adresse du DNS du poste sur le DC principal. Aussi, vérifier que les DC répliquent bien entre eux (si DC > 1) 

  Espérant vous avoir donné un indice

  ---

  BIBOUTECH

  mercredi 30 septembre 2015 10:35
• 

  

  1

  Connectez-vous pour voter

  Nous avons deux DC et ils se répliquent bien. 

  J'ai désinstaller DropBox mais le problème est encore là ce matin : 

  Échec d’ouverture de session d’un compte.
  
  Sujet :
  ID de sécurité : SYSTEM
  Nom du compte : CxxDC03$
  Domaine du compte : CMM
  ID d’ouverture de session : 0x3e7
  
  Type d’ouverture de session : 3
  
  Compte pour lequel l’ouverture de session a échoué :
  ID de sécurité : NULL SID
  Nom du compte : xvennju
  Domaine du compte : Cxx
  
  Informations sur l’échec :
  Raison de l’échec : Compte verrouillé.
  État : 0xc0000234
  Sous-état : 0x0
  
  Informations sur le processus :
  ID du processus de l’appelant : 0x1d8
  Nom du processus de l’appelant : C:\Windows\System32\svchost.exe
  
  Informations sur le réseau :
  Nom de la station de travail :
  Adresse du réseau source : -
  Port source : -
  
  Informations détaillées sur l’authentification :
  Processus d’ouverture de session : CHAP
  Package d’authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  Services en transit : -
  Nom du package (NTLM uniquement) : -
  Longueur de clé : 0
  
  Cet événement est généré lorsqu’une demande d’ouverture de session échoue. Il est généré sur l’ordinateur sur lequel l’accès a été tenté.
  
  Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
  
  Le champ Type d’ouverture de session indique le type d’ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).
  
  Les champs relatifs aux informations sur le processus indiquent quel est le compte et le processus sur le système qui ont demandé l’ouverture de session.
  
  Les champs relatifs aux informations sur le réseau indiquent la provenance de la demande d’ouverture de session distante. Le nom de la station de travail n’étant pas toujours disponible, peut rester vide dans certains cas.
  
  Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
  - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
  - Le nom du package indique quel a été le sous-protocole qui a été utilisé parmi les protocoles NTLM.
  - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.

  mercredi 30 septembre 2015 13:54
• 

  

  1

  Connectez-vous pour voter

  Bonjour tout le monde,

  J'ai le même cas, est ce que vous trouvez une solution.

  Je crois que c'est un vert.

  mercredi 2 novembre 2016 14:34
• 

  

  1

  Connectez-vous pour voter

  Bonsoir Phil Böhm et sanavit;

  A votre place, je regarderai dans le "Gestionnaire d'identification" depuis le panneau de configuration (Windows  client). L'ancien mot de passe est sans doute rejoué à partir de là.

  Une autre question :

  Les utilisateurs en question utilises-t-ils ActiveSync ?

  Certain problèmes avec des mot de passe enregistrés sur des téléphones configurés en ActiveSync sur nos serveurs Exchange. Lors d'un changement de mot de passe d'un compte utilisateur, il faut se ré authentifier sur l'équipement sinon il continue de faire des tentatives avec l'ancien mot de passe... Ce qui verrouille le compte...

  sinon vous pouvez aller vérifier dans le journal d’événement de votre serveur ADDS l’événement ayant pour ID 4740. cela vous dira quelle application qui tante de faire une authentification (soit un brute force :-D)

  Merci, A+

  ---

  S'il vous plaît n'oubliez pas de "Marquer comme réponse"; les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution. Héritier KANDOLO. http://www.rootandadmin.com/

  
  
  
  

  • Proposé comme réponse Heritier Kandolo mercredi 2 novembre 2016 16:39
  • Modifié Heritier Kandolo mercredi 2 novembre 2016 16:51
  • Marqué comme réponse Teodora Sharkova lundi 7 novembre 2016 15:45

  mercredi 2 novembre 2016 16:31
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  Essaies juste de remettre le mot de passe qui fonctionnait bien, le compte est surement utilisé dans un script, programme ou tâche planifiée avec un ancien mot de passe.

  Essaies également de déconnecter son poste du réseau et voir si c'est bien celui là qui verrouille le compte. 

  Cdlt,

  mercredi 2 novembre 2016 16:43