Remove From My Forums

exchange2010sp3 用户ad账号经常会被锁定在邮箱cas上

问题
0

登录进行投票

我有一个用户，经常被锁定，锁定源根据日志来看是exchang邮箱的其中一台cas服务器，去这台cas上找日志来看，是用户的pop计算机凭据一直在尝试密码，但是日志并没有记录客户端ip或者其他客户端信息。

我从哪里可以获取到一直尝试凭据登录的这台客户端的信息呢？ip计算机名称或者其他有用的信息都可以。

2018年4月8日 8:58

回复

|

引用

答案

0

登录进行投票
你好，

可以尝试在这台CAS上启用POP3的协议日志记录，然后通过查看该日志来找到相关的信息，默认该日志是禁用的，具体参考：

配置 POP3 和 IMAP4 的协议日志记录
Best Regards,
Niko Cheng

Please remember to mark the replies as answers if they helped. If you have feedback for TechNet Subscriber Support, contact tnsf@microsoft.com.

Click here to learn more. Visit the dedicated forum to share, explore and talk to experts about Microsoft Teams.
- 已建议为答案 Niko.ChengModerator 2018年4月10日 8:05
- 已标记为答案绅士aa 2019年1月16日 9:52
2018年4月9日 2:07

回复

|

引用

版主
0

登录进行投票
你好，

相关参数可以参考下面这篇文章：

了解 POP3 和 IMAP4 的协议日志记录 -- 查看协议日志

其中没提到的一些参数代表如下：

sIp: 服务器IP地址
cIp: 客户端IP地址
duration: 会话持续时间
rqsize: 消息请求大小
rpsize：消息回复大小

希望能帮到你。

谢谢！
Best Regards,
Niko Cheng

Please remember to mark the replies as answers if they helped. If you have feedback for TechNet Subscriber Support, contact tnsf@microsoft.com.

Click here to learn more. Visit the dedicated forum to share, explore and talk to experts about Microsoft Teams.
- 已标记为答案绅士aa 2019年1月16日 9:52
2018年4月16日 2:26

回复

|

引用

版主

全部回复

0

登录进行投票
你好，

可以尝试在这台CAS上启用POP3的协议日志记录，然后通过查看该日志来找到相关的信息，默认该日志是禁用的，具体参考：

配置 POP3 和 IMAP4 的协议日志记录
Best Regards,
Niko Cheng

Please remember to mark the replies as answers if they helped. If you have feedback for TechNet Subscriber Support, contact tnsf@microsoft.com.

Click here to learn more. Visit the dedicated forum to share, explore and talk to experts about Microsoft Teams.
- 已建议为答案 Niko.ChengModerator 2018年4月10日 8:05
- 已标记为答案绅士aa 2019年1月16日 9:52
2018年4月9日 2:07

回复

|

引用

版主
0

登录进行投票

感谢答复，我尝试下

2018年4月9日 2:11

回复

|

引用
0

登录进行投票

你好，

是否有任何进展？如果问题已解决，请将有用的答复标记为答案，谢谢！
Best Regards,
Niko Cheng

Please remember to mark the replies as answers if they helped. If you have feedback for TechNet Subscriber Support, contact tnsf@microsoft.com.

Click here to learn more. Visit the dedicated forum to share, explore and talk to experts about Microsoft Teams.

2018年4月12日 9:59

回复

|

引用

版主
0

登录进行投票

你好！

感谢回复！

我尝试开启了一下，目前已经有日志进来了，但是针对里面的参数并不是太明白，可否解释下

2018年4月13日 16:19

回复

|

引用
0

登录进行投票
你好，

相关参数可以参考下面这篇文章：

了解 POP3 和 IMAP4 的协议日志记录 -- 查看协议日志

其中没提到的一些参数代表如下：

sIp: 服务器IP地址
cIp: 客户端IP地址
duration: 会话持续时间
rqsize: 消息请求大小
rpsize：消息回复大小

希望能帮到你。

谢谢！
Best Regards,
Niko Cheng

Please remember to mark the replies as answers if they helped. If you have feedback for TechNet Subscriber Support, contact tnsf@microsoft.com.

Click here to learn more. Visit the dedicated forum to share, explore and talk to experts about Microsoft Teams.
- 已标记为答案绅士aa 2019年1月16日 9:52
2018年4月16日 2:26

回复

|

引用

版主
0

登录进行投票

我看到部分日志记录的值是空的，比如我截图里的，user字段就是空的，是什么情况下会使日志记录不完整呢？

2018年4月16日 2:51

回复

|

引用
0

登录进行投票

你好，

有些字段是不用于该日志的，就会显示为空。比如官方文档中提到：

context

该字段不用于 POP3 和 IMAP4 协议日志记录。

Best Regards,
Niko Cheng

Please remember to mark the replies as answers if they helped. If you have feedback for TechNet Subscriber Support, contact tnsf@microsoft.com.

Click here to learn more. Visit the dedicated forum to share, explore and talk to experts about Microsoft Teams.

2018年4月16日 3:23

回复

|

引用

版主
0

登录进行投票
感谢回复！

我刚才仔细阅读了下官方文档，官方文档提到的不用于该日志的字段是connector-id和context，貌似没有提到user字段，但是我的日志显示user字段为空。并且日志里貌似也没有onnector-id字段

补充一下，

我刚才去服务器上看了下日志记录，发现context字段实际上是有值的。
- 已编辑绅士aa 2018年4月16日 3:55 补充
2018年4月16日 3:51

回复

|

引用
0

登录进行投票
你好，

我的意思是说可能由于某些字段不用于这些日志，所以导致在日志中的体现就是空值或者根本不存在。

Best Regards,
Niko Cheng

Please remember to mark the replies as answers if they helped. If you have feedback for TechNet Subscriber Support, contact tnsf@microsoft.com.

Click here to learn more. Visit the dedicated forum to share, explore and talk to experts about Microsoft Teams.
- 已建议为答案 Niko.ChengModerator 2018年4月23日 9:39
2018年4月17日 2:37

回复

|

引用

版主

产品

Resources

Solutions

更新

试用版

相关站点

培训

认证

其他资源

产品支持

其他支持

不是 IT 专业人员？

积极答复者

exchange2010sp3 用户ad账号经常会被锁定在邮箱cas上

问题

答案

全部回复