none
AD上启用Account Lockout Policy后取消,依然锁定账户的问题 RRS feed

  • 问题

  • 背景:多台AD服务器,有windows server 2008和2012,Exchange版本为2013

    我在上周五的时候尝试了更改AD上的Account Lockout Policy,设置为5次错误锁定账户,30分钟自动解锁,经测试后发现,该policy对于网页版来说没有什么作用,exchange webmail在五次失败后,如果密码输入正确,依然可以登陆,后来在上周五晚上将Default Domain Policy中Account Lockout Policy全部取消,回退到默认未启用状态

    后来在周六周日,陆续出现用户反应无法登陆webmail和outlook的状况,经测试和检查后发现,许多用户账户被锁定。而且的确webmail上五次密码输入错误,AD账户会显示锁定,如果输入正确,webmail网页版邮箱可以登陆,但是outlook无法登陆。请问为什么在取消Account Lockout Policy后,也强制刷新了AD上的policy并生效,为什么依然会有账户锁定的情况,谢谢

    截图为目前Default Domain Policy的状态,已经全部取消回复默认未启用的状态,但是图2中是我尝试的测试账户,在网页版邮箱输入五次密码后,该账户锁定,网页版密码输入正确依旧可以登陆,但是outlook无法登陆,比如解锁后outlook才可正常使用,请问专家如何彻底或验证Account Lockout Policy彻底取消或回退,谢谢

    测试更新:

    在做了很多测试以后,发现一些问题如下

    其中一台Windows 2008的服务器有local group policy, 当我修改Default Domain Policy的时候,这台的local group policy也会一起变更,我理解是Default Domain Policy比local group优先级高。

    但是当我在Default Domain Policy取消 account lockout policy的,由于Default Domain Policy里这三条已经是没有开启的,所以调用优先级变为local group policy

    那么现在问题是,在Default Domain Policy取消以后,取消这个动作并不会同步到local group policy里,最重要的是!!!local group policy里居然没有 Not Defined这个选项!!他不让取消啊!!!专家们帮忙看看吧,我有点不会了...

    2020年8月3日 3:31

答案

  • 尊敬的客户,您好!

    不客气,感谢您的回复。

    我在Windows server 2008的DC和服务器上面测试了,服务器上面的local group policy会同步DC上配置的Default Domain Policy,也会同步Default Domain Policy的取消策略。如下图,如果在Default Domain Policy中没有定义账户锁定策略的话,Local group policy也会同步,并显示如下图(与Default Domain Policy未启用的策略状态有所不同)。






    如果我们将Local group policy中Account lockout threshold改为0,账户锁定的问题应该可以解决的。关于Local group policy不会同步Default Domain Policy的取消/未启动的策略状态,我们可以运行gpupdate /force强制刷新组策略,或者可以尝试重启,再次登录验证是否可以同步。

    这个问题可能是因为策略没有同步到所有的域控上,也没有应用给域里的机器,我们可以检查下DC复制状态。运行以下命令:

    repadmin /showrepl * /csv >C:\showrepl.csv (任意一台DC上运行此命令)
    repadmin /showrepl >c:\showrepl.txt (所有DC上运行此命令)
    repadmin /replsum >c:\replsum.txt (所有DC上运行此命令)

    Windows server 2008的技术支持已经结束,不会再提供任何安全补丁或者其他更新。我们建议可以升级到更高的受支持的版本。

    如有其他任何问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 MagicBonze 2020年8月7日 16:23
    2020年8月4日 3:16

全部回复

  • 您好,

    感谢您访问我们的论坛,在这里我们主要关注有关Exchange服务器的一般问题,但是您的问题与Active Directory有关。 因此,我将您的主题移至Active Directory的专用论坛。

    https://social.technet.microsoft.com/Forums/zh-CN/home?forum=winserver8zhcn

    我们建议合理发布的原因是,您将获得更加专业的解决方案,而定期阅读论坛的其他合作伙伴可以分享他们的知识或从您与我们的互动中学习。感谢您的理解,并希望您的问题能尽快得到解决。

    此致,

    Lucas Liu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年8月3日 8:00
  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    我在自己的环境中测试了,如果取消Account lockout Policy后,登录客户端,运行gpupdate /force后,打开本地组策略查看,里面的策略也会取消。






    1,当修改Default Domain Policy时,local group policy也会一起变更,并且是灰色状态,无法更改。
    2,当在Default Domain Policy取消Account Lockout Policy时,local group policy在刷新后也会一起变更。如上述实验结果。
    3,如果Default Domain Policy设置未定义,local group policy设置了账户锁定策略,那么这台机器也会应用local group policy。
    4,取消Default Domain Policy后,如上所述,运行gpupdate /force后,查看local group policy是否同步。

    5,如果local group policy还是无法同步的话,我们可以修改local group policy吗?如果可以的话,我们可以设置Account lockout threshold为0,表示账户永远不会被锁定。另外的两个设置值会自动匹配。




    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月3日 9:30
  • 尊敬的客户,您好!

    可能是因为策略没有同步到所有的域控,也没有应用给域里的机器。

    1.只有在默认的域策略下编辑密码策略才有效。

    2.我在测试环境里,在域控制器上把账号锁定策略取消以后,在域控上运行gpupdate /force

    3.登录一台加域的客户端或者加域的服务器,也运行gpupdate /force以后,我发现本地策略里的账号锁定策略跟域的同步了。


    4.我也可以设置Account lockout threshold,设置完了以后我就可以设置Account lockout duration和Reset account lockout counuter after.



    我们可以按照如下排查:
    1.只修改默认域策略里的账号锁定策略。
    2.修改以后在域控制器上运行gpupdate /force。并且如果有多个域控制器,需要是的域里的所有域控制器都复制了这个更改,可以运行repadmin /syncall /AdeP强制所有域控制器同步。
    3.登录客户端或者服务器,运行gpupdate /force,检查组策略是否生效。

    使用管理员账号登录客户端。
    打开CMD,以管理员身份运行。
    运行gpresult /h C:\report.html并且按回车键
    打开report.html检查“计算机详情”下的账号锁定策略设置。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月3日 9:30
  • 专家您好,感谢您的回答和协助,我也按照您的方法操作了一下。我的情况是这样的:

    1. Default Domain Policy启用Account lockout,Local group policy也会启用同样设置

    2.  Default Domain Policy取消Account lockout,Local group policy没有同步,用 gpupdate /force 后也是之前同步Default的设置。我跟您的Local group policy一样,可以修改,但是没有未启用的哪个勾勾选项。我按您的做法将account lockout threshold改为0了

    不知道是不是windows server 2008的问题,我的Local group policy只会同步 Default Domain Policy启用或者新的策略,但是并不能同步 Default Domain Policy的取消/未启用的策略状态

    2020年8月3日 14:36
  • 专家您好,感谢您的回答和协助,我也按照您的方法操作了一下。我的情况是这样的:

    1. Default Domain Policy启用Account lockout,Local group policy也会启用同样设置

    2.  Default Domain Policy取消Account lockout,Local group policy没有同步,用 gpupdate /force 后也是之前同步Default的设置。我跟您的Local group policy一样,可以修改,但是没有未启用的哪个勾勾选项。我按您的做法将account lockout threshold改为0了

    您给的 repadmin /syncall /AdeP 我也运行了,但是Local group policy依旧无法同步Default Domain Policy的取消策略状态

    不知道是不是windows server 2008的问题,我的Local group policy只会同步 Default Domain Policy启用或者新的策略,但是并不能同步 Default Domain Policy的取消/未启用的策略状态

    专家您好,感谢您的回答和协助,我也按照您的方法操作了一下。我的情况是这样的:

    1. Default Domain Policy启用Account lockout,Local group policy也会启用同样设置

    2.  Default Domain Policy取消Account lockout,Local group policy没有同步,用 gpupdate /force 后也是之前同步Default的设置。我跟您的Local group policy一样,可以修改,但是没有未启用的哪个勾勾选项。我按您的做法将account lockout threshold改为0了

    不知道是不是windows server 2008的问题,我的Local group policy只会同步 Default Domain Policy启用或者新的策略,但是并不能同步 Default Domain Policy的取消/未启用的策略状态

    专家您好,感谢您的回答和协助,我也按照您的方法操作了一下。我的情况是这样的:

    1. Default Domain Policy启用Account lockout,Local group policy也会启用同样设置

    2.  Default Domain Policy取消Account lockout,Local group policy没有同步,用 gpupdate /force 后也是之前同步Default的设置。我跟您的Local group policy一样,可以修改,但是没有未启用的哪个勾勾选项。我按您的做法将account lockout threshold改为0了

    不知道是不是windows server 2008的问题,我的Local group policy只会同步 Default Domain Policy启用或者新的策略,但是并不能同步 Default Domain Policy的取消/未启用的策略状态

    2020年8月3日 14:37
  • 尊敬的客户,您好!

    不客气,感谢您的回复。

    我在Windows server 2008的DC和服务器上面测试了,服务器上面的local group policy会同步DC上配置的Default Domain Policy,也会同步Default Domain Policy的取消策略。如下图,如果在Default Domain Policy中没有定义账户锁定策略的话,Local group policy也会同步,并显示如下图(与Default Domain Policy未启用的策略状态有所不同)。






    如果我们将Local group policy中Account lockout threshold改为0,账户锁定的问题应该可以解决的。关于Local group policy不会同步Default Domain Policy的取消/未启动的策略状态,我们可以运行gpupdate /force强制刷新组策略,或者可以尝试重启,再次登录验证是否可以同步。

    这个问题可能是因为策略没有同步到所有的域控上,也没有应用给域里的机器,我们可以检查下DC复制状态。运行以下命令:

    repadmin /showrepl * /csv >C:\showrepl.csv (任意一台DC上运行此命令)
    repadmin /showrepl >c:\showrepl.txt (所有DC上运行此命令)
    repadmin /replsum >c:\replsum.txt (所有DC上运行此命令)

    Windows server 2008的技术支持已经结束,不会再提供任何安全补丁或者其他更新。我们建议可以升级到更高的受支持的版本。

    如有其他任何问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 MagicBonze 2020年8月7日 16:23
    2020年8月4日 3:16
  • 尊敬的客户,您好!

    我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。

    感谢您的理解与支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月6日 6:02