none
Постоянная блокировка учетной записи RRS feed

  • Вопрос

  • Всем привет! Тема не новая, но все же, хочется попросить совета. С одной учетной записью, которая является только Domain Users, постоянно происходит блокировка. Ошибка входа в журнале событий:

    Kerberos pre-authentication failed.
    
    Account Information:
    	Security ID:		DOMAIN\username
    	Account Name:		username
    
    Service Information:
    	Service Name:		krbtgt/dom.comapany.ru
    
    Network Information:
    	Client Address:		::ffff:192.168.34.4
    	Client Port:		9153
    
    Additional Information:
    	Ticket Options:		0x40810010
    	Failure Code:		0x18
    	Pre-Authentication Type:	0
    
    Certificate Information:
    	Certificate Issuer Name:		
    	Certificate Serial Number: 	
    	Certificate Thumbprint:		
    
    Certificate information is only provided if a certificate was used for pre-authentication.
    
    Pre-authentication types, ticket options and failure codes are defined in RFC 4120.
    
    If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.

    Причем адрес клиента - это адрес нашего Exchange сервера!!!

    Сначала подозрения пали на телефон - оттуда была удалена учетная запись синхронизации и сразу же удален ExchangeActiveSyncDeviсe через ADSI Edit. Проблему не решило, в логах безопасности все те же события. Подумал, вдруг ломают из-вне, закрыл доступ из вне к Exchange - не помогло. Была попытка отключить компьютер пользователя от сети - тоже не помогло. На вопрос пользователю, вводил ли тот где нибудь еще свой пароль - ответ был однозначно нет. ALockout.dll работает только с 32 битными версиями, потому не могу собрать лог с Exchange, каким все таки образом с него происходят неудачные попытки авторизоваться именно с одним пользователем...

    Господа гуру, какие идеи?

    Заранее спасибо!

    14 августа 2013 г. 13:44

Ответы

  • После включения аудита на Exchange удалось узнать IP адрес, с которого были неудачные попытки авторизоваться. Попытки были из-вне. Сейчас выясняем, принадлежит ли этот IP адрес сотруднику, либо это взлом. IP адрес заблокирован.
    16 августа 2013 г. 6:18

Все ответы

  • День добрый,

    а с сертификатом у Клиента все хорошо?


    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    15 августа 2013 г. 8:55
  • Здравствуйте

    Вам удалось решить Вашу пробелму? 


    Уважаемые участники форума. У меня к Вам просьба: если какой-нибудь из ответов помог Вам решить Вашу проблему, пожалуйста, не забывайте отмечать его. Таким образом, Вы поможете и другим пользователям, у которых возникла схожая проблема! Спасибо!

    16 августа 2013 г. 6:00
    Модератор
  • После включения аудита на Exchange удалось узнать IP адрес, с которого были неудачные попытки авторизоваться. Попытки были из-вне. Сейчас выясняем, принадлежит ли этот IP адрес сотруднику, либо это взлом. IP адрес заблокирован.
    16 августа 2013 г. 6:18