none
账号被锁 RRS feed

  • 问题

  • 某个域账号经常被锁,域控上的审核日志查到来源是邮件系统(Exchange2016),应该查询exchange的哪些日志可以追踪到来源?用户使用outlook POP模式,手机端配置邮箱的。
    • 已编辑 MSTEO 2020年5月12日 8:31
    2020年5月12日 8:27

全部回复

  • 您好,

    您可以打开IIS Manager,找到“logging”双击,从Directory获取您的IIS日志的存储路径,找到路径下的txt文件并用Excel打开,设置“空格”时分格,具体分格方法根据Excel版本不同有一些差别,以下截图仅供参考:

    之后根据C-username查找到该账号对应的邮箱名即可获取相关信息,以下常见对应信息供您参考:

    Date (date) • Time (time, timezone (GMT) ) • Client IP Address (c-ip) • User Name (cs-username) • Method (cs-method) • URI Stem (cs-uri-stem) • URI Query (cs-uri-query) • Protocol Status (sc-status) • Win32 Status (sc-win32-status) • Bytes Sent (sc-bytes) • Time Taken (time-taken) • Host (cs-host) • User Agent (cs(User-Agent)) • Referer (cs(Referer))  

    在代码“ cs-status”中,200 OK成功状态响应代码表示请求已成功(成功登录)。401未经授权的客户端错误状态响应代码表示该请求尚未应用,因为它缺少针对目标资源的有效身份验证凭据(登录失败)。

    除此以外,您也可以在DC上查看Event log-Windows log-Security,查找被锁的域账号对应事件(很可能为4740),放置适当的过滤器有助于减少工作量:

    找到后可以从Additional information找到来源:

    希望以上两个办法对您有所帮助。

    此致,

    Eric Yin


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年5月13日 6:11
  • 我在DC上查到这几个用户都是通过邮件服务器进行锁定的(exchange2016),请问如果在exchange这里查的话,有哪些日志可以去跟踪到?这些日志的路径在哪里?
    2020年5月13日 6:57
  • 您好,

    Exchange本身的audit log和admin log都没有这方面的功能,与同事交流后能想到的相关内容只有Get-MailboxStatistics的lastlogontime,但也对此帖没有帮助,请尝试我刚刚使用的两个方法。

    此致,

    Eric Yin


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年5月13日 9:21
  • 您好,

    长时间没有收到您的回复,请问问题解决了吗?

    如果您需要进一步的帮助,请提供相关信息,我们会继续为您提供帮助。

    此致, 

    Eric Yin


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年5月18日 8:51