none
Блокируется учетка (возможно из-за Exchange) RRS feed

  • Вопрос

  • Добрый день.
    Перелопатил множество статей о блокировках учеток, какие-только логи не смотрел - ситуация совершенно не объяснимая. Может кто сталкивался? Очень нужно помощь.
    Есть AD 2008, Exchange 2010. Политика - 10 неверных попыток ввода пароля и блокировка учетки на 30 мин.
    После смены пароля (плановой) начинает блокироваться одна учетка. Через полчаса автоматом разблокируется, через 10 минут опять блокируется. Сбрасывал пароль на старый - не помогло.

    В логах безопасности АД нет классических неудачных попыток ввода пароля (ну когда "компьютер попытался проверить учетную запись"...). Просто раз в 40 минут:
    EventCode=4740
    Message=Заблокирована учетная запись пользователя.
    Имя вызывающего компьютера: EXCH.

    EXCH - это почтовик.
    Если включить на АД расширенный аудит логинов(https://habr.com/ru/company/netwrix/blog/148501/) - все нормально, ошибок доступа нет.
    03/26 12:21:53 [LOGON] AD: SamLogon: Transitive Network logon AD\User from WORKSTATION (via EXCH) Entered
    03/26 12:21:53 [LOGON] AD: SamLogon: Transitive Network logon of AD\User from WORKSTATION (via EXCH) Returns 0x0

    WORKSTATION - так называется макбук, он не в домене.
    Пользователь удалил учетку с айфона, выключил макбук. В логах Exchange (Ну которые IIS, C:\inetpub\logs\LogFiles\W3SVC1) - попыток доступа к ящику нет. Учетка все равно блокируется!
    Это мистика какая-то.
    Это уже вторая ситуация с этим пользователем. Где-то год назад было так же. Помогло пересоздание учетки и ящика. В этот раз так радикально не хотелось бы решать.

    Сейчас и не помогает полное удаление учетки и ящика. Возможно нужно ребутнуть Exchange, но может нужно какой-то дополнительный аудит включить, на самом Exchange, чтобы посмотреть, почему учетка блокируется и "Имя вызывающего компьютера: EXCH"?

    30 марта 2020 г. 9:28

Ответы

Все ответы

  • 1. Проверьте скрипты и task scheduler на еxch

    2. Если мак, то проверяйте календарь - там используется отдельное приложение и если меняли пароль, то требуется изменить его и в приложении.

    3. Проверяйте мобильные устройства.

    30 марта 2020 г. 9:55
  • 1. В "Планировщике заданий" только одна задача "Database redundancy monitoring task.". Ей сто лет, и никакого отношения к событиям не имеет.

    А скрипты где смотреть?
    2. Так беда в том, что если мак вырубить, точно так же блокируется учетка.

    А пока мак включен, в логах IIS вижу, что все ок.

    2020-03-30 09:53:43 EXCH POST /ews/exchange.asmx - 443 ad\user nginx AppleExchangeWebServices/309 200 0 0 10
    action = success success cs_User_Agent = AppleExchangeWebServices/309 host = EXCH source = C:\inetpub\logs\LogFiles\W3SVC1\u_ex200330.log sourcetype = MSWindows:2008R2:IIS

    3. В том-то и дело, что удаляли полностью учетку c iPhone, и все равно блокировалось.

    30 марта 2020 г. 10:17
  • Здравствуйте

    Чтобы изолировать проблему, попробуйте отключить все протоколы для подключения к ящику (кроме OWA) и посмотрите воспроизводится ли проблема. 

    https://docs.microsoft.com/en-us/exchange/clients/pop3-and-imap4/configure-mailbox-access?view=exchserver-2019

    https://docs.microsoft.com/en-us/powershell/module/exchange/client-access/set-casmailbox?view=exchange-ps

    Кажется, для ускорения применения отключения протоколов необходимо передернуть IIS или перенести ящик в другую БД. Коллеги, поправьте, если нет необходимости


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    30 марта 2020 г. 12:07
    Модератор
  • Дмитрий, протоколы сразу отключаются/включаются. Дёргать не нужно.
    30 марта 2020 г. 12:26
  • Сделал. Отключил Exchange Active Sync, MAPI, POP3, IMAP4 - не помогло :(
    30 марта 2020 г. 13:26
  • Остаётся как минимум OWA и EWS. Вы в логах IIS на CAS-сервере нашли попытки подключения этой УЗ после отключения протоколов?
    30 марта 2020 г. 13:37
  • По прежнему вижу события:

    2020-03-30 13:35:22 EXCH POST /ews/exchange.asmx - 443 ad\user nginx AppleExchangeWebServices/309 200 0 0 12
    action = success success cs_User_Agent = AppleExchangeWebServices/309 host = EXCH source = C:\inetpub\logs\LogFiles\W3SVC1\u_ex200330.log sourcetype = MSWindows:2008R2:IIS user = ad\user

    Все роли Exchange 2010 установлены на одном сервере.


    • Изменено hohl 30 марта 2020 г. 13:43
    30 марта 2020 г. 13:40
  • Apple EWS - это очень похоже на адресную книгу или календарь на яблоке. Поменяйте новый пароль там.
    30 марта 2020 г. 13:41
  • Apple EWS - это очень похоже на адресную книгу или календарь на яблоке. Поменяйте новый пароль там.
    Но ведь action = success - какое отношение эти события имеют к блокировке?
    30 марта 2020 г. 13:42
  • Там событие с кодом 200 - это ОК. 

    А с репликацией между вашими КД проблем нет?

    30 марта 2020 г. 13:52
  • Дмитрий, протоколы сразу отключаются/включаются. Дёргать не нужно.

    Алексей, нашел статью где говорилось о необходимости делать iis reset.

    https://support.microsoft.com/en-us/help/3035228/http-clients-can-still-connect-to-exchange-after-account-is-disabled-o


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    30 марта 2020 г. 13:56
    Модератор
  • Дмитрий, так там речь про отключение аккаунта (its account has been disabled), а не протокола. В этом и разница. При отключении аккаунта доступ естественно остаётся пока действителен билет или пока не передёрнут IIS. В случае протокола таких ограничений нет.
    30 марта 2020 г. 14:05
  • "А с репликацией между вашими КД проблем нет?" - я тоже было подумал об этом, но:

    1. В DCDIAG на обоих контроллерах все проверки "пройдена проверка" (ну кроме SystemLog, там всякие принтеры и прочее...).

    2. С другими учетками в домене проблем нет.

    Сейчас пользователь полностью удалил учетку на маке, попыток подключения к ящику нет. Тем не менее, учетка блокируется :(

    30 марта 2020 г. 14:35
  • 1. Репликация проверяется repadmin /showrepl и repadmin /replsummary

    2. С айфона тоже УЗ удалили?

    3. Ещё если подключены сетевые диски, то это тоже может влиять.

    4. На ноуте (виндовом) если есть - почистите полностью Credential Manager.

    30 марта 2020 г. 14:45
  • 1. Точно, спасибо. Проблем нет. На обоих DC ошибок нет. Время одинаковое.

    Default-First-Site-Name\AD1
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: fbd139c5-508a-45d1-b021-ac2d2e34dad8
    DSA - код вызова: fbd139c5-508a-45d1-b021-ac2d2e34dad8

    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================

    DC=ad,DC=local
        Default-First-Site-Name\AD2 через  RPC
            DSA - GUID объекта: 9ce25354-4f55-4659-99e5-6ef9ce5bf972
            Последняя попытка @ 2020-03-30 18:53:39 успешна.

    CN=Configuration,DC=ad,DC=local
        Default-First-Site-Name\AD2 через  RPC
            DSA - GUID объекта: 9ce25354-4f55-4659-99e5-6ef9ce5bf972
            Последняя попытка @ 2020-03-30 18:53:21 успешна.

    CN=Schema,CN=Configuration,DC=ad,DC=local
        Default-First-Site-Name\AD2 через  RPC
            DSA - GUID объекта: 9ce25354-4f55-4659-99e5-6ef9ce5bf972
            Последняя попытка @ 2020-03-30 18:53:21 успешна.

    DC=DomainDnsZones,DC=ad,DC=local
        Default-First-Site-Name\AD2 через  RPC
            DSA - GUID объекта: 9ce25354-4f55-4659-99e5-6ef9ce5bf972
            Последняя попытка @ 2020-03-30 18:53:21 успешна.

    DC=ForestDnsZones,DC=ad,DC=local
        Default-First-Site-Name\AD2 через  RPC
            DSA - GUID объекта: 9ce25354-4f55-4659-99e5-6ef9ce5bf972
            Последняя попытка @ 2020-03-30 18:53:21 успешна.

    C:\Windows\system32>repadmin /replsummary
    Время запуска сводки по репликации: 2020-03-30 18:59:17

    Исходный DSA        наиб. дельта     сбоев/всего %%   ошибка
     AD1                        10m:49s           0 /   5    0
     AD2                       05m:56s            0 /   5    0

    Конечный DSA        наиб. дельта      сбои/всего %%   ошибка
     AD1                        05m:56s           0 /   5    0
     AD2                       10m:49s            0 /   5    0

    2. Да. Попыток ведь доступа к почте нет.

    3. Если бы так было, то на AD были бы попытки Аудита отказа (9 раз, затем блокировка). Их нет.

    4. Аналогично п.3. К тому же ноута виндового у пользователя нет.

    30 марта 2020 г. 15:07
  • Попробуйте включить высокий уроень логирования для Netlogon, возможно в подробном логе найдутся следы

    https://pugazhnetwork.blogspot.com/2018/09/troubleshooting-netlogon-error-codes.html


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.


    30 марта 2020 г. 18:40
    Модератор
  • Уже включал (см. первый пост) - либо просто нет событий (когда пользователь не работает), либо все хорошо.

    Удалил учетную запись и П/Я. Перезагрузил EXCH, создал заново, отключил все функции ящика, включая OWA - не помогло :( Стоит KES10, сделал полную проверку - вирусов нет.

    Я в полном отчаянии... Получается, создавать новый логин и почту? Это просто катастрофа...

    31 марта 2020 г. 4:07
  • Еще нашёл вот такое любопытное событие.

    Для хронологии. Удалял и создавал учетку я вчера, часа в 23:00. Пользователь до сих пор не настраивал ее нигде. Отключил все функции я утром. Вот такое событие ночью на почтовом сервере:

    03/31/2020 03:25:19 AM

    LogName=Security
    SourceName=Microsoft Windows security auditing.
    EventCode=4625
    EventType=0
    Type=Сведения
    ComputerName=EXCH.AD.local
    TaskCategory=Блокировка учетной записи
    OpCode=Сведения
    RecordNumber=51992561
    Keywords=Аудит отказа
    Message=Учетной записи не удалось выполнить вход в систему.

    Субъект:
    ИД безопасности: NT AUTHORITY\NETWORK SERVICE
    Имя учетной записи: EXCH$
    Домен учетной записи: AD
    Код входа: 0x3e4

    Тип входа: 8

    Учетная запись, которой не удалось выполнить вход:
    ИД безопасности: NULL SID
    Имя учетной записи: User
    Домен учетной записи: AD

    Сведения об ошибке:
    Причина ошибки: Учетная запись блокирована.
    Состояние: 0xc0000234
    Подсостояние: 0x0

    Сведения о процессе:
    Идентификатор процесса вызывающей стороны: 0xc24
    Имя процесса вызывающей стороны: C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\PopImap\Microsoft.Exchange.Imap4.exe

    Сведения о сети:
    Имя рабочей станции: EXCH
    Сетевой адрес источника: -
    Порт источника: -

    Сведения о проверке подлинности:
    Процесс входа: Advapi  
    Пакет проверки подлинности: Negotiate
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    Зачем Microsoft.Exchange.Imap4.exe проверяет учетку и что за Advapi?


    • Изменено hohl 31 марта 2020 г. 4:59
    31 марта 2020 г. 4:50
  • Кто-то по IMAP пытается подключиться к пя, кстати не исключаю, что это просто брутфорс идёт. Мы этот вариант не рассматривали.

    Логин уз какой-то общедоступный типа info, sales, support?

    31 марта 2020 г. 6:07
  • Нет, учетка персональная. Исключаю возможность буртфорса, так как тогда были бы попытки неудачного входа на АД, в почту и прочее, их нет. И вообще это единственное событие, связанное с user за последние 7 дней на EXCH.

    Аудит безопасности ВСЕГО ЧТО МОЖНО (успех, отказ) у меня включен на всех серверах.

    • Изменено hohl 31 марта 2020 г. 6:18
    31 марта 2020 г. 6:15
  • Попробуйте определить кто ломится по IMAP  включив логирирование. Там по IP адресу, порту найдете виновника.

    Configure protocol logging for POP3 and IMAP4
    Protocol logging for POP3 and IMAP4


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    31 марта 2020 г. 9:42
    Модератор
  • Спасибо, включил. Но лог файлы не создаются. Видимо никто не ломится. А учетка все равно блокируется.

    А какое еще логирование на exchange 2010 можно включить? Сейчас, помимо imap и pop3 подключены:

    C:\inetpub\logs\LogFiles\W3SVC1
    C:\Program Files\Microsoft\Exchange Server\V14\Logging\RPC Client Access\
    C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\MessageTracking\

    Но повторюсь. Даже если выключить все функции ящика, все равно учетка блокируется.

    31 марта 2020 г. 11:44
  • Включил продвинутый аудит событий безопасности на контроллерах.

    Получаю вот такие события:

    LogName=Security
    SourceName=Microsoft Windows security auditing.
    EventCode=4771
    EventType=0
    Type=Сведения
    ComputerName=ad1.ad.local
    TaskCategory=Служба проверки подлинности Kerberos
    OpCode=Сведения
    RecordNumber=121689248
    Keywords=Аудит отказа
    Message=Сбой предварительной проверки подлинности Kerberos.

    Сведения об учетной записи:
    Идентификатор безопасности: AD\user
    Имя учетной записи: user

    Сведения о службе:
    Имя службы: krbtgt/ad

    Сведения о сети:
    Адрес клиента: ::ffff:EXCH
    Порт клиента: 34617

    Дополнительные сведения:
    Параметры билета: 0x40810010
    Код ошибки: 0x18
    Тип предварительной проверки подлинности: 2

    Сведения о сертификате:
    Имя поставщика сертификата:
    Серийный номер сертификата:
    Отпечаток сертификата:

    Сведения о сертификате предоставляются только в том случае, если сертификат использовался для предварительной проверки подлинности.

    Типы предварительной проверки подлинности, параметры билета и коды ошибок определены в стандарте RFC 4120.

    Если билет был неправильно сформирован или поврежден при передаче и не может быть расшифрован, многие поля этого события могут отсутствовать.

    ********

    То есть адрес клиента - почтовик (EXCH), что-то оттуда прилетает. Остается понять - что.

    31 марта 2020 г. 18:11
  • Включил аналогичный аудит на EXCH. Вижу ошибки:

    EventCode=4625

    Keywords=Аудит отказа
    Message=Учетной записи не удалось выполнить вход в систему.

    Субъект:
    ИД безопасности: NT AUTHORITY\NETWORK SERVICE
    Имя учетной записи: EXCH$
    Домен учетной записи: ad
    Код входа: 0x3e4

    Тип входа: 8

    Учетная запись, которой не удалось выполнить вход:
    ИД безопасности: NULL SID
    Имя учетной записи: User
    Домен учетной записи: ad

    Сведения об ошибке:
    Причина ошибки: Неизвестное имя пользователя или неверный пароль.
    Состояние: 0xc000006d
    Подсостояние: 0xc000006a

    Сведения о процессе:
    Идентификатор процесса вызывающей стороны: 0xc24
    Имя процесса вызывающей стороны: C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\PopImap\Microsoft.Exchange.Imap4.exe

    Сведения о сети:
    Имя рабочей станции: EXCH
    Сетевой адрес источника: -
    Порт источника: -

    Сведения о проверке подлинности:
    Процесс входа: Advapi  
    Пакет проверки подлинности: Negotiate
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    То есть очень похожая ошибка, и тоже связанная с Microsoft.Exchange.Imap4.exe.

    Как выяснить, где там может быть сохранен пароль?


    • Изменено hohl 31 марта 2020 г. 18:47
    31 марта 2020 г. 18:46
  • В общем, победил!! Спасибо всем!

    "Попробуйте определить кто ломится по IMAP  включив логирирование" - прошу прощения, невнимательно прочитал инструкцию по включению логгирования - надо было службы рестартовать :)

    Рестартовал службы, выяснил источник , откуда действительно были попытки доступа с неверным паролем.

    31 марта 2020 г. 19:20
  • Так кто в итоге был источником? Какой клиент?
    1 апреля 2020 г. 6:23
  • На некоей виртуалке когда-то настроили сбор писем и забыли. А так как настроили по imap, то и в лога было пусто.
    2 апреля 2020 г. 12:22