Массовая блокировка учетных записей в Active Directory

Все ответы

• 

  

  0

  Нужно войти

  Включите аудит управления учетными записями в Default domain controller policy и ищите в логах security события блокировки УЗ за номером 644

  Там указано имя компьютера с которого идет блокирование

  4 августа 2010 г. 6:29

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  Спасибо, но простите за глупый вопрос. Как и где включить этот аудит???
  

  4 августа 2010 г. 6:31

  Ответить

  |

  Цитировать
• 

  

  2

  Нужно войти

  ИМХО. Проверять ещё. Воспользоваться Кидо Киллером. Это поведение, с очень высокой степенью вероятности вызвано именно вирусом. 

  http://okrylov.wordpress.com/2009/01/14/kido/#more-101

  ---

  In pivo veritas... t.G. - испокон и вовеки. Want to believe... It's a magic...

  4 августа 2010 г. 6:38

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

   в Default domain controller policy

   Computer Configuration > Windows Settings > Local policies > Audit Policy

  Audit account management    включаете галки success, failure

  4 августа 2010 г. 6:39

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  Спасибо, но простите за глупый вопрос. Как и где включить этот аудит???
  

  
  В (Default) Domain Controler Policy: Конфигурация комп-ра->конфигурация Windows->параметры безопасности->локальные политики->политика аудита(поставить параметры)

  После gpupdate /force для более быстрого применения.

  4 августа 2010 г. 6:40

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Все включил, даже ребутнулся, учетки продолжают блокироваться, кидо киллер последний с каспер сайта молчит. А учетки так и блочятся, евента 644 нету, полно 560 562 577 576 680 и.т.д. а вот 644 нету((( учетки все так же и блокируются(((
  

  4 августа 2010 г. 7:02

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Все включил, даже ребутнулся, учетки продолжают блокироваться, кидо киллер последний с каспер сайта молчит. А учетки так и блочятся, евента 644 нету, полно 560 562 577 576 680 и.т.д. а вот 644 нету((( учетки все так же и блокируются(((
  

  
  Вам нужно событие 644 искать в логах security на всех КД

  Также запустите на КД остнастку rsop.msc - посмотрите применилась ли политика

  4 августа 2010 г. 7:07

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  Странно, запускаю rsop.msc открываю win settings - security - local policy - audit policy а там все проставлено в not defined не понимаю как так
  

  4 августа 2010 г. 7:11

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Странно, запускаю rsop.msc открываю win settings - security - local policy - audit policy а там все проставлено в not defined не понимаю как так
  

  
  Где и как правили политику, расскажите подробнее, по шагам

  4 августа 2010 г. 7:14

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  сделал run cmd ввел mmc добавил оснастку group policy objectedition и там уже  Computer Configuration > Windows Settings > Local policies > Audit Policy причет захожу как описал щас все вижу, все проставлено а через rcop.msc везде not deffine
  

  4 августа 2010 г. 7:26

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  сделал run cmd ввел mmc добавил оснастку group policy objectedition и там уже  Computer Configuration > Windows Settings > Local policies > Audit Policy причет захожу как описал щас все вижу, все проставлено а через rcop.msc везде not deffine
  

  
  Какое название политики, в которую внесли изменение? Нужно именно в политику контроллера домена.

  4 августа 2010 г. 7:30

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  сделал run cmd ввел mmc добавил оснастку group policy objectedition и там уже  Computer Configuration > Windows Settings > Local policies > Audit Policy причет захожу как описал щас все вижу, все проставлено а через rcop.msc везде not deffine
  

  
  Установите на КД group policy management console http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en

  Запустите эту консоль, там найдите  Default domain controller policy и настройте параметры политики, о которых я говорил выше

   

  4 августа 2010 г. 7:30

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  Эм... описаный Выше Вами путь в этой оснасте не работает, то есть тут такого нет... я уже на нервах скорее всего туплю. через ран запускаю gpmc.msc и куда далее? или я опять не так делаю?

  4 августа 2010 г. 7:41

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Эм... описаный Выше Вами путь в этой оснасте не работает, то есть тут такого нет... я уже на нервах скорее всего туплю. через ран запускаю gpmc.msc и куда далее? или я опять не так делаю?

  
  Хорошо, тогда нажмите на КД, Пуск - администрирование - domain controller security policy

  Там и правьте параметры

  4 августа 2010 г. 7:46

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  Вау, ругается что якобы прав нет, и красным отмечены group policy, то есть при попытке запуска говорит что filed to open the group policy object you may not have appropriate rights

  details the system cannot find the path specified

  4 августа 2010 г. 7:48

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Вау, ругается что якобы прав нет, и красным отмечены group policy, то есть при попытке запуска говорит что filed to open the group policy object you may not have appropriate rights

  details the system cannot find the path specified

  
  В каких группах AD состоит учетная запись из под которой пытаетесь редактировать политику?

  4 августа 2010 г. 7:50

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  Работаю под администратором, он у группах

  administrators

  domain admins
  domain users
  enterprise admins
  group policy creator
  KLAdmins
  remotedesctop
  Schema users

   

  4 августа 2010 г. 7:53

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  покажите вывод команды dcdiag с КД (кстати сколько у вас КД?)

  4 августа 2010 г. 8:01

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  2. реплицируются между собой.

  вывод с основного

  Domain Controller Diagnosis
  
  Performing initial setup:
     Done gathering initial info.
  
  Doing initial required tests
  
     Testing server: Default-First-Site-Name\DOMAINSRV
        Starting test: Connectivity
           ......................... DOMAINSRV passed test Connectivity
  
  Doing primary tests
  
     Testing server: Default-First-Site-Name\DOMAINSRV
        Starting test: Replications
           ......................... DOMAINSRV passed test Replications
        Starting test: NCSecDesc
           ......................... DOMAINSRV passed test NCSecDesc
        Starting test: NetLogons
           ......................... DOMAINSRV passed test NetLogons
        Starting test: Advertising
           ......................... DOMAINSRV passed test Advertising
        Starting test: KnowsOfRoleHolders
           ......................... DOMAINSRV passed test KnowsOfRoleHolders
        Starting test: RidManager
           ......................... DOMAINSRV passed test RidManager
        Starting test: MachineAccount
           ......................... DOMAINSRV passed test MachineAccount
        Starting test: Services
           ......................... DOMAINSRV passed test Services
        Starting test: ObjectsReplicated
           ......................... DOMAINSRV passed test ObjectsReplicated
        Starting test: frssysvol
           ......................... DOMAINSRV passed test frssysvol
        Starting test: frsevent
           ......................... DOMAINSRV passed test frsevent
        Starting test: kccevent
           ......................... DOMAINSRV passed test kccevent
        Starting test: systemlog
           An Error Event occured.  EventID: 0xC0000007
              Time Generated: 08/04/2010   11:15:17
              Event String: The Security Account Manager failed a KDC request
           An Error Event occured.  EventID: 0xC0000007
              Time Generated: 08/04/2010   11:15:17
              Event String: The Security Account Manager failed a KDC request
           An Error Event occured.  EventID: 0xC0000007
              Time Generated: 08/04/2010   11:15:17
              Event String: The Security Account Manager failed a KDC request
           An Error Event occured.  EventID: 0xC0000007
              Time Generated: 08/04/2010   11:15:17
              Event String: The Security Account Manager failed a KDC request
           An Error Event occured.  EventID: 0xC0000007
              Time Generated: 08/04/2010   11:15:20
              Event String: The Security Account Manager failed a KDC request
           An Error Event occured.  EventID: 0xC0000007
              Time Generated: 08/04/2010   11:15:20
              Event String: The Security Account Manager failed a KDC request
           An Error Event occured.  EventID: 0xC0000007
              Time Generated: 08/04/2010   11:15:20
              Event String: The Security Account Manager failed a KDC request
           An Error Event occured.  EventID: 0xC0000007
              Time Generated: 08/04/2010   11:15:20
              Event String: The Security Account Manager failed a KDC request
           An Error Event occured.  EventID: 0x00000423
              Time Generated: 08/04/2010   11:18:58
              Event String: The DHCP service failed to see a directory server
           An Error Event occured.  EventID: 0x00000423
              Time Generated: 08/04/2010   11:19:27
              Event String: The DHCP service failed to see a directory server
           ......................... DOMAINSRV failed test systemlog
        Starting test: VerifyReferences
           ......................... DOMAINSRV passed test VerifyReferences
  
     Running partition tests on : DomainDnsZones
        Starting test: CrossRefValidation
           ......................... DomainDnsZones passed test CrossRefValidation
  
        Starting test: CheckSDRefDom
           ......................... DomainDnsZones passed test CheckSDRefDom
  
     Running partition tests on : ForestDnsZones
        Starting test: CrossRefValidation
           ......................... ForestDnsZones passed test CrossRefValidation
  
        Starting test: CheckSDRefDom
           ......................... ForestDnsZones passed test CheckSDRefDom
  
     Running partition tests on : Schema
        Starting test: CrossRefValidation
           ......................... Schema passed test CrossRefValidation
        Starting test: CheckSDRefDom
           ......................... Schema passed test CheckSDRefDom
  
     Running partition tests on : Configuration
        Starting test: CrossRefValidation
           ......................... Configuration passed test CrossRefValidation
        Starting test: CheckSDRefDom
           ......................... Configuration passed test CheckSDRefDom
  
     Running partition tests on : bremor
        Starting test: CrossRefValidation
           ......................... bremor passed test CrossRefValidation
        Starting test: CheckSDRefDom
           ......................... bremor passed test CheckSDRefDom
  
     Running enterprise tests on : bremor.ru
        Starting test: Intersite
           ......................... bremor.ru passed test Intersite
        Starting test: FsmoCheck
           ......................... bremor.ru passed test FsmoCheck

  со второго пишет ошибку что мол команда такая не существует.

  4 августа 2010 г. 8:07

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Утилита dcdiag находится в C:\Program Files\Support Tools, скопируйте на 2-й DC, и результат выполнения давайте тоже сюда 

  ---

  Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )

  4 августа 2010 г. 8:16

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  вывод со второго

  Domain Controller Diagnosis
  
  Performing initial setup:
     Done gathering initial info.
  
  Doing initial required tests
  
     Testing server: Default-First-Site-Name\CONTROLLERSRV
        Starting test: Connectivity
           ......................... CONTROLLERSRV passed test Connectivity
  
  Doing primary tests
  
     Testing server: Default-First-Site-Name\CONTROLLERSRV
        Starting test: Replications
           ......................... CONTROLLERSRV passed test Replications
        Starting test: NCSecDesc
           ......................... CONTROLLERSRV passed test NCSecDesc
        Starting test: NetLogons
           ......................... CONTROLLERSRV passed test NetLogons
        Starting test: Advertising
           ......................... CONTROLLERSRV passed test Advertising
        Starting test: KnowsOfRoleHolders
           ......................... CONTROLLERSRV passed test KnowsOfRoleHolders
        Starting test: RidManager
           ......................... CONTROLLERSRV passed test RidManager
        Starting test: MachineAccount
           ......................... CONTROLLERSRV passed test MachineAccount
        Starting test: Services
           ......................... CONTROLLERSRV passed test Services
        Starting test: ObjectsReplicated
           ......................... CONTROLLERSRV passed test ObjectsReplicated
        Starting test: frssysvol
           ......................... CONTROLLERSRV passed test frssysvol
        Starting test: frsevent
           ......................... CONTROLLERSRV passed test frsevent
        Starting test: kccevent
           An Warning Event occured.  EventID: 0x80250829
              Time Generated: 08/04/2010   12:16:49
              (Event String could not be retrieved)
           An Warning Event occured.  EventID: 0x80250829
              Time Generated: 08/04/2010   12:16:49
              (Event String could not be retrieved)
           An Warning Event occured.  EventID: 0x80250829
              Time Generated: 08/04/2010   12:16:49
              (Event String could not be retrieved)
           An Warning Event occured.  EventID: 0x80250829
              Time Generated: 08/04/2010   12:16:49
              (Event String could not be retrieved)
           An Warning Event occured.  EventID: 0x80250829
              Time Generated: 08/04/2010   12:16:49
              (Event String could not be retrieved)
           ......................... CONTROLLERSRV failed test kccevent
        Starting test: systemlog
           ......................... CONTROLLERSRV passed test systemlog
        Starting test: VerifyReferences
           ......................... CONTROLLERSRV passed test VerifyReferences
  
     Running partition tests on : DomainDnsZones
        Starting test: CrossRefValidation
           ......................... DomainDnsZones passed test CrossRefValidation
  
        Starting test: CheckSDRefDom
           ......................... DomainDnsZones passed test CheckSDRefDom
  
     Running partition tests on : ForestDnsZones
        Starting test: CrossRefValidation
           ......................... ForestDnsZones passed test CrossRefValidation
  
        Starting test: CheckSDRefDom
           ......................... ForestDnsZones passed test CheckSDRefDom
  
     Running partition tests on : Schema
        Starting test: CrossRefValidation
           ......................... Schema passed test CrossRefValidation
        Starting test: CheckSDRefDom
           ......................... Schema passed test CheckSDRefDom
  
     Running partition tests on : Configuration
        Starting test: CrossRefValidation
           ......................... Configuration passed test CrossRefValidation
        Starting test: CheckSDRefDom
           ......................... Configuration passed test CheckSDRefDom
  
     Running partition tests on : bremor
        Starting test: CrossRefValidation
           ......................... bremor passed test CrossRefValidation
        Starting test: CheckSDRefDom
           ......................... bremor passed test CheckSDRefDom
  
     Running enterprise tests on : bremor.ru
        Starting test: Intersite
           ......................... bremor.ru passed test Intersite
        Starting test: FsmoCheck
           ......................... bremor.ru passed test FsmoCheck

   

  4 августа 2010 г. 8:22

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Вау, ругается что якобы прав нет, и красным отмечены group policy, то есть при попытке запуска говорит что filed to open the group policy object you may not have appropriate rights

  details the system cannot find the path specified

  
  Из GPMC(раз уже поставили) проверьте права на политику Default Domain Controllers Policy (вкладки Details и Delegation) у админов домена (и кто владелец этой политики?).

  4 августа 2010 г. 8:27

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Давайте Dcdiag /test:CheckSecurityError с обих DC

  ---

  Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )

  4 августа 2010 г. 8:33

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  Открываю gpmc сразу преед открытием он выдает the system cannot find file specified открываю я run cmd gpmc.msc при нажатии на ОК открывается. выбираю из леса свой домен, он там один, далее  group policy objects далее Default Domain Controllers Policy и опять выскакивает cannot find file specified нажимаю ОК пропускает далее вкладка детаилс овнер domain admins вкладка delegation

  auth user - read
  domain admins - edit, delete, modify
  enterprise admins - edit, delete, modify
  enterprise domain controller READ
  system - edit, delete, modify

  4 августа 2010 г. 8:38

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  вот вывод с первого

  Domain Controller Diagnosis
  
  Performing initial setup:
     Done gathering initial info.
  
  Doing initial required tests
  
     Testing server: Default-First-Site-Name\DOMAINSRV
        Starting test: Connectivity
           ......................... DOMAINSRV passed test Connectivity
  
  Doing primary tests
  
     Testing server: Default-First-Site-Name\DOMAINSRV
        Starting test: CheckSecurityError
           [DOMAINSRV] No security related replication errors were found on this D
  C!  To target the connection to a specific source DC use /ReplSource:<DC>.
           ......................... DOMAINSRV passed test CheckSecurityError
  
     Running partition tests on : DomainDnsZones
  
     Running partition tests on : ForestDnsZones
  
     Running partition tests on : Schema
  
     Running partition tests on : Configuration
  
     Running partition tests on : bremor
  
     Running enterprise tests on : bremor.ru

   

  вот вывод со второго

  Domain Controller Diagnosis
  
  Performing initial setup:
     Done gathering initial info.
  
  Doing initial required tests
  
     Testing server: Default-First-Site-Name\CONTROLLERSRV
        Starting test: Connectivity
           ......................... CONTROLLERSRV passed test Connectivity
  
  Doing primary tests
  
     Testing server: Default-First-Site-Name\CONTROLLERSRV
        Starting test: CheckSecurityError
           [CONTROLLERSRV] No security related replication errors were found on th
  is DC!  To target the connection to a specific source DC use /ReplSource:<DC>.
           ......................... CONTROLLERSRV passed test CheckSecurityError
  
     Running partition tests on : DomainDnsZones
  
     Running partition tests on : ForestDnsZones
  
     Running partition tests on : Schema
  
     Running partition tests on : Configuration
  
     Running partition tests on : bremor
  
     Running enterprise tests on : bremor.ru
  

  4 августа 2010 г. 8:42

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Посмотрите, нет ли у вас запрещающих ACE в Default Domain Controllers Policy

  http://support.microsoft.com/kb/294257

  4 августа 2010 г. 8:45

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  Скажите служба Kerberos Key Distribution Center запущена на DOMAINSRV?, если нет ее нужно запустить

  ---

  Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )

  4 августа 2010 г. 8:58

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  Служба запущена, читаю мануал http://support.microsoft.com/kb/294257 щас скоро отпишусь.
  

  4 августа 2010 г. 9:01

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Выполните на DOMAINSRV  dcdiag /test:systemlog /v

  ---

  Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )

  4 августа 2010 г. 9:05

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  По инструкции дошел до пунтка 4. там Примечание. Запрещенная политика отображается со значком блокнота, все остальные политики отображаются со значком папки. у меня все нормально, блокнотов нет, все папки.
  

  4 августа 2010 г. 9:11

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Domain Controller Diagnosis
  
  Performing initial setup:
     * Verifying that the local machine domainsrv, is a DC.
     * Connecting to directory service on server domainsrv.
     * Collecting site info.
     * Identifying all servers.
     * Identifying all NC cross-refs.
     * Found 2 DC(s). Testing 1 of them.
     Done gathering initial info.
  
  Doing initial required tests
  
     Testing server: Default-First-Site-Name\DOMAINSRV
        Starting test: Connectivity
           * Active Directory LDAP Services Check
           * Active Directory RPC Services Check
           ......................... DOMAINSRV passed test Connectivity
  
  Doing primary tests
  
     Testing server: Default-First-Site-Name\DOMAINSRV
        Test omitted by user request: Replications
        Test omitted by user request: Topology
        Test omitted by user request: CutoffServers
        Test omitted by user request: NCSecDesc
        Test omitted by user request: NetLogons
        Test omitted by user request: Advertising
        Test omitted by user request: KnowsOfRoleHolders
        Test omitted by user request: RidManager
        Test omitted by user request: MachineAccount
        Test omitted by user request: Services
        Test omitted by user request: OutboundSecureChannels
        Test omitted by user request: ObjectsReplicated
        Test omitted by user request: frssysvol
        Test omitted by user request: frsevent
        Test omitted by user request: kccevent
        Starting test: systemlog
           * The System Event log test
           Found no errors in System Event log in the last 60 minutes.
           ......................... DOMAINSRV passed test systemlog
        Test omitted by user request: VerifyReplicas
        Test omitted by user request: VerifyReferences
        Test omitted by user request: VerifyEnterpriseReferences
        Test omitted by user request: CheckSecurityError
  
     Running partition tests on : DomainDnsZones
        Test omitted by user request: CrossRefValidation
        Test omitted by user request: CheckSDRefDom
  
     Running partition tests on : ForestDnsZones
        Test omitted by user request: CrossRefValidation
        Test omitted by user request: CheckSDRefDom
  
     Running partition tests on : Schema
        Test omitted by user request: CrossRefValidation
        Test omitted by user request: CheckSDRefDom
  
     Running partition tests on : Configuration
        Test omitted by user request: CrossRefValidation
        Test omitted by user request: CheckSDRefDom
  
     Running partition tests on : bremor
        Test omitted by user request: CrossRefValidation
        Test omitted by user request: CheckSDRefDom
  
     Running enterprise tests on : bremor.ru
        Test omitted by user request: Intersite
        Test omitted by user request: FsmoCheck
        Test omitted by user request: DNS
        Test omitted by user request: DNS

  4 августа 2010 г. 9:12

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  P.S. Учетные записи все еще продолжают блокироваться(((. А можно как то разом разблокировать их все пока идет решение проблемы?

  4 августа 2010 г. 9:13

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Вот последний вывод dcdiag /test:systemlog /v

   

  Domain Controller Diagnosis
  
  Performing initial setup:
     * Verifying that the local machine domainsrv, is a DC.
     * Connecting to directory service on server domainsrv.
     * Collecting site info.
     * Identifying all servers.
     * Identifying all NC cross-refs.
     * Found 2 DC(s). Testing 1 of them.
     Done gathering initial info.
  
  Doing initial required tests
  
     Testing server: Default-First-Site-Name\DOMAINSRV
        Starting test: Connectivity
           * Active Directory LDAP Services Check
           * Active Directory RPC Services Check
           ......................... DOMAINSRV passed test Connectivity
  
  Doing primary tests
  
     Testing server: Default-First-Site-Name\DOMAINSRV
        Test omitted by user request: Replications
        Test omitted by user request: Topology
        Test omitted by user request: CutoffServers
        Test omitted by user request: NCSecDesc
        Test omitted by user request: NetLogons
        Test omitted by user request: Advertising
        Test omitted by user request: KnowsOfRoleHolders
        Test omitted by user request: RidManager
        Test omitted by user request: MachineAccount
        Test omitted by user request: Services
        Test omitted by user request: OutboundSecureChannels
        Test omitted by user request: ObjectsReplicated
        Test omitted by user request: frssysvol
        Test omitted by user request: frsevent
        Test omitted by user request: kccevent
        Starting test: systemlog
           * The System Event log test
           Found no errors in System Event log in the last 60 minutes.
           ......................... DOMAINSRV passed test systemlog
        Test omitted by user request: VerifyReplicas
        Test omitted by user request: VerifyReferences
        Test omitted by user request: VerifyEnterpriseReferences
        Test omitted by user request: CheckSecurityError
  
     Running partition tests on : DomainDnsZones
        Test omitted by user request: CrossRefValidation
        Test omitted by user request: CheckSDRefDom
  
     Running partition tests on : ForestDnsZones
        Test omitted by user request: CrossRefValidation
        Test omitted by user request: CheckSDRefDom
  
     Running partition tests on : Schema
        Test omitted by user request: CrossRefValidation
        Test omitted by user request: CheckSDRefDom
  
     Running partition tests on : Configuration
        Test omitted by user request: CrossRefValidation
        Test omitted by user request: CheckSDRefDom
  
     Running partition tests on : bremor
        Test omitted by user request: CrossRefValidation
        Test omitted by user request: CheckSDRefDom
  
     Running enterprise tests on : bremor.ru
        Test omitted by user request: Intersite
        Test omitted by user request: FsmoCheck
        Test omitted by user request: DNS
        Test omitted by user request: DNS

  4 августа 2010 г. 9:38

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  P.S. Учетные записи все еще продолжают блокироваться(((. А можно как то разом разблокировать их все пока идет решение проблемы?

  Возможно, поможет

  
  http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/918c4e06-7b61-4c09-b0c5-912c730783c4

   

  • Изменено Den V. G_ 4 августа 2010 г. 10:10 ошибка

  4 августа 2010 г. 10:04

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Может быть проще отключить блокировку в политиках?

  ---

  blog: http://shss.wordpress.com/

  4 августа 2010 г. 10:50

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Может быть проще отключить блокировку в политиках?

  ---

  blog: http://shss.wordpress.com/

  
  Дело в том, что у человека бок какой-то с применением политик.

  4 августа 2010 г. 11:15

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  ipconfig /all уже показывали/проверяли, надо полагать?

  ---

  MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor

  4 августа 2010 г. 11:34

  Ответить

  |

  Цитировать

  Отвечающий
• 

  

  0

  Нужно войти

  Может быть проще отключить блокировку в политиках?

  ---

  blog: http://shss.wordpress.com/

  
  Дело в том, что у человека бок какой-то с применением политик.

  
  Единственная блокировка, которая может мешать - это блокирование наследование политик на уровне OU Domain controllers, все остальное - ошибки конфигурирования, которые надо исправлять

  PS В крайнем случае, можно напрямки отредактировать объект Domain в ADSIEdit

  ---

  blog: http://shss.wordpress.com/

  4 августа 2010 г. 11:39

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Вся проблема не в том, что бы отключить блокировку, а в том, что бы найти от куда из сети идет подбор паролей... А включить в политике подробное логировение не получается, так как к ней нет доступа... как же быть?

   

  p.s. проблема все еще актуальна, блокировка продолжается, касперы и вебы корпорейт молчат, говорят триперов нет

  4 августа 2010 г. 16:54

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  >Подскажите пожалуйста, со вчерашнего дня вся компания стоит и не может работать

  >Вся проблема не в том, что бы отключить блокировку, а в том, что бы найти от куда из сети идет подбор паролей

  Наверное, я не правильно расставил приоритеты?

  __

  Все-таки стоит обратить внимание на ошибки в журналах ваших DC:

  http://eventid.net/display.asp?eventid=7&eventno=1469&source=KDC&phase=1

  __

  Account Lockout and Management Tools 

  __

  >сделал run cmd ввел mmc добавил оснастку group policy objectedition и там уже  Computer Configuration > Windows Settings > Local policies > Audit Policy причет захожу как описал щас все вижу, все проставлено а через rcop.msc везде not deffine

  >Странно, запускаю rsop.msc открываю win settings - security - local policy - audit policy а там все проставлено в not defined не понимаю как так

  1) устанавливать параметры аудита, редактируя локальный gpo, - не есть гут. Надо делать это, путем редактирования DDCP или DDP.

  2) не знаю почему, но у меня в rsop значения, выставленные через локальный gpo, так же никогда не отображаются. можете посмотреть результаты Gpresult /z, уверен, там также не будет этой информации.

  ---

  blog: http://shss.wordpress.com/

  4 августа 2010 г. 19:55

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Вся проблема не в том, что бы отключить блокировку, а в том, что бы найти от куда из сети идет подбор паролей... А включить в политике подробное логировение не получается, так как к ней нет доступа... как же быть?

   

  p.s. проблема все еще актуальна, блокировка продолжается, касперы и вебы корпорейт молчат, говорят триперов нет

  
  Давайте по порядку:

  1. Включить аудит. Из GPMC-ищете Ваш домен, в нем - Group Policy Objects-Default Domain Conrollers Policy->Edit. Там правите политики аудита, как указано выше.

  2. Временно выключаете политику блокировки В Default Domain Policy ...Политика уч. записей-Политика блокировки паролей.

  3. Разбираетесь с логами аудита

   

  5 августа 2010 г. 6:36

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Уважаемый пользователь!

  В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

  ---

  Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
  
  
  Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

  23 августа 2010 г. 5:48

  Ответить

  |

  Цитировать

  Модератор
• 

  

  0

  Нужно войти

  Была таже ситуация. Блокировались учетки в директориях. Решал след. образом:

  1) В параметрах политики безопасности контроллера домена настроил аудит управления учетными записями на Успех и Отказ.

  2) В логах этого контроллера  стали появляться события типа Аудит Успеха Код (ID) 644 - Блокировка учетной записи пользователя, и дальше имя вызывающего компьютера! Именно на тех компьютерах сидела зараза! Сканер Dr. Web и Касперский нашли его без проблем.

  3)  Сразу блокировка этих компов в директориях, физическое отключение от сети и внеплановые работы с ними.

   

  Если не видишь событий аудита, проверь логи на всех контроллерах, убедись, что включен аудит. У меня также включен аудит входа в систему и аудит событий входа в систему на Успех и Отказ. По ним видно, что, в моем случае, с 3 компов идет постоянная попытка авторизации под разными пользователями. И т.к.  в политике блокировки учетных записей в Политике Безопасности Домена настроена блокировка учеток через определенное количество неудачных входов, учетки блокируются!

  7 декабря 2010 г. 16:31

  Ответить

  |

  Цитировать