locked
關於網域內有大量帳號無預期被鎖住(SERVER 2008 64bit與SERVER 2003 x86共存的環境),請問如何查詢與解除大量被鎖住的帳號 RRS feed

  • 問題

  • 各位前輩,最近小弟的環境發生兩次無預警有大量帳號被鎖住的情況
    小弟最近環境內剛安裝了win2k8 64bit的DC,也將五大角色由原本的Win2k3 X86的DC移轉到新 機器上。
    並將郵件主機更新為Ex2K7 (win2k8 64bit兼通用目錄主機),所以小弟目前網域內有三台DC(2台win2k8 64bit與一台Win2k3 X86)。
    最近發生兩次大規模帳號被鎖住的情況(間隔快一個月),不是每個帳號都被鎖住,但鎖住的帳號一 但解除可能馬上又被鎖住。沒鎖住的帳號幾乎都沒問題(但很少數)。
    小弟有幾個問題請教各位前輩:

    1.發生前我都會看到三台事件檢視器中有Kerberos錯誤的訊息,也並沒有看到有大量登入而且錯誤的eventlog出現,
    請問有可能是這三台複寫帳號時出錯嗎?該如何排除呢?
    因為小弟內部有IPS,理論上如果有蠕蟲應該會被發現,所以我才沒往中毒的方向找(而且發生時間不定且時間可能為幾個小時)
    還有甚麼方式可以找出原因嗎?

    2,請問有什方式可以找出哪些帳號被鎖住呢?還有一次解除那些被鎖住的帳號,一筆筆解除好累阿~
    謝謝前輩的回覆
    感恩~

    2009年12月17日 上午 10:47

解答

  • 我看了一下2008DC上面的事件紀錄(安全性)
    有發現非常多的登入失敗..然後造成了帳號被鎖定的狀況出現(大概10幾秒就會登入失敗..然後被紀錄在裡面)
    而21號到23號之間每小時都有大量錯誤

    我篩選了紀錄然後另存..你可以在之前上傳檔案的網頁內點選 "Receive Files from Microsoft" .. 然後輸入密碼後進入做下載
    我是使用Excel格式..比較好做判讀


    登入錯誤的訊息如下
    ----------------------
    網域控制站嘗試驗證帳戶的認證。驗證封裝: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0  登入帳戶: vensonlu  來源工作站: MAIL  錯誤碼: 0xc000006a
    ----------------------
    0xc000006a 是登入帳號正確,密碼錯誤的代碼

    PS:代碼意思可以參考此網站下面的表格 - http://technet.microsoft.com/en-us/library/cc776964(WS.10).aspx


    建議你現在可以做一件事情..在2008DC安裝Network Monitor 3.3去錄封包(大概錄個4-5分鐘..)
    看是否可以透過此動作找到哪一台電腦在發出這種登入的request


    蒐集完的檔案在上傳到之前的網路空間給我..看是否可以看出端倪囉

    Thanks

    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已提議為解答 Vincent Lin 2009年12月29日 上午 05:47
    • 已標示為解答 Vincent Lin 2010年1月14日 上午 11:14
    2009年12月23日 上午 10:04
  • 補充一下..我覺得這個問題有可能是網域中有某一台電腦是有感染Conficker蠕蟲
    因為症狀還滿像的(DC會忙碌)..導致在2008DC上面的事件紀錄(目錄服務)有發現下列錯誤訊息

    描述大概如下

    Event ID : 1083
    Event Type: Warning
    Event Source: NTDS Replication
    Event Category: Replication
    Event ID: 1083
    Description:
    Replication warning: The directory is busy. It couldn't update object CN=... with changes made by directory GUID._msdcs.domain. Will try again later.

    如果可以的話..可以檢查看看網域內是否有電腦是沒有更新到最新的..看看是否有漏網之魚

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已提議為解答 Vincent Lin 2009年12月29日 上午 05:47
    • 已標示為解答 Vincent Lin 2010年1月14日 上午 11:14
    2009年12月23日 上午 10:10

所有回覆

  • 你的Client端是否有更新到最新?
    如果沒有的話可能會有感染Conficker蠕蟲的風險

    關於 Win32/Conficker 蠕蟲的病毒警訊
    http://support.microsoft.com/kb/962007/zh-tw


    建議你先在有問題的電腦上面都下載並執行惡意軟體移除程式看看有偵測到東西

    Microsoft® Windows® 惡意軟體移除工具 (KB890830)
    http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356


    另外..你先看看DC上面的事件檢視器 - 安全性 , 看看是否有大量登入的狀況

    如果要大量解除帳號..需要透過Script才可以
    幫你找了一下可以參考下面網頁看看是否有幫助

    有沒有 scripts 可以解除大量使用者帳號鎖定的問題 on 2003 servers
    http://social.msdn.microsoft.com/Forums/zh-TW/241/thread/71a5d076-0641-463b-8c42-5cee8d4d0b68


    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月18日 上午 03:17
  • 謝謝VINCENT前輩的回覆,
    環境內有架設wsus與集中控管的anti-virus,
    有確定環境的主機都有更新到最新與病毒碼也是最新的狀態。
    還有DC的LOG上並沒有看到大量登入的問題,
    只有看到被鎖住的電腦(IP)無法登入的錯誤訊息,
    所以才會想到是會不會DC間複寫的問題導致的。

    2009年12月21日 上午 05:11
  • 有試過在Client端執行惡意軟體移除工具嗎?

    另外要麻煩你在DC & 一台有問題的Client端上面蒐集一些資訊給我們看看

    請下載下面檔案並執行

    Microsoft Product Support Reports
    http://www.microsoft.com/downloads/details.aspx?familyid=cebf3c7c-7ca5-408f-88b7-f9c79b7306c0&displaylang=en

    執行時..會勾選要蒐集的項目..請全部勾選..最後結束時選擇儲存檔案..會產生一個.cab的壓縮檔
    再將檔案上傳到下面空間 (進入後直接輸入密碼)

    https://sftasia.one.microsoft.com/choosetransfer.aspx?key=556ed802-944b-4007-9ff9-0cc466e421f4

    密碼: gH*3G]qrf89Lr@


    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月22日 上午 02:40
  • 謝謝 Vincent前輩的回應~
    已經將檔案上傳(檔名:account locked log),內有三個檔案,依序為兩台DC與一台CLIENT的LOG。
    另外今早也發現又出現類似的情況,PDC出現下列的LOG
    記錄檔名稱:         Security
    來源:            Microsoft-Windows-Security-Auditing
    日期:            2009/12/23 上午 09:54:48
    事件識別碼:         4768
    工作類別:          Kerberos 驗證服務
    等級:            資訊
    關鍵字:           稽核失敗
    使用者:           不適用
    電腦:            PDC.XXX.com.tw
    描述:
    已要求 Kerberos 驗證票證 (TGT)。
    帳戶資訊:
     帳戶名稱:  vensonlu
     支援領域名稱: ADMIN
     使用者識別碼:   NULL SID
    服務資訊:
     服務名稱:  krbtgt/ADMIN
     服務識別碼:  NULL SID
    網路資訊:
     用戶端位址:  ::ffff:192.168.1.7
     用戶端連接埠:  1925
    其他資訊:
     票證選項:  0x40810010
     結果碼:  0x12
     票證加密類型: 0xffffffff
     預先驗證類型: -

    其中用戶端位址192.168.1.7 另一台DC的IP(並不是真正USER的IP,所以我也找了這台DC的LOG ,發現也有相關LOG,如下:
    事件類型: 稽核失敗
    事件來源: Security
    事件類別目錄: 帳戶登入
    事件識別碼: 672
    日期:  2009/12/23
    時間:  上午 09:54:49
    使用者:  NT AUTHORITY\SYSTEM
    電腦: MPS
    描述:
    驗證票證要求:
      使用者名稱:  username@XXX.com.tw
      支援領域名稱: XXX.com.tw
      使用者識別碼: -
      服務名稱:  krbtgt/XXX.com.tw
      服務識別碼:  -
      票證選項:   0x40810010
      結果碼:  0x12
      票證加密類型: -
      預先驗證類型: -
      用戶端位址:  10.0.1.8
      驗證發行者名稱: 
      驗證序號:  
      驗證指紋:  

    其中USER的IP為10.0.1.8
    USER是收信時帳號被鎖住,帳號仍在有效期,我解除鎖定後,系統又會自動鎖定,請USER登出,我在解除鎖定USER再登入問題才解除。
    謝謝前輩的回應。
    萬分感激

    2009年12月23日 上午 07:52
  • 我看了一下2008DC上面的事件紀錄(安全性)
    有發現非常多的登入失敗..然後造成了帳號被鎖定的狀況出現(大概10幾秒就會登入失敗..然後被紀錄在裡面)
    而21號到23號之間每小時都有大量錯誤

    我篩選了紀錄然後另存..你可以在之前上傳檔案的網頁內點選 "Receive Files from Microsoft" .. 然後輸入密碼後進入做下載
    我是使用Excel格式..比較好做判讀


    登入錯誤的訊息如下
    ----------------------
    網域控制站嘗試驗證帳戶的認證。驗證封裝: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0  登入帳戶: vensonlu  來源工作站: MAIL  錯誤碼: 0xc000006a
    ----------------------
    0xc000006a 是登入帳號正確,密碼錯誤的代碼

    PS:代碼意思可以參考此網站下面的表格 - http://technet.microsoft.com/en-us/library/cc776964(WS.10).aspx


    建議你現在可以做一件事情..在2008DC安裝Network Monitor 3.3去錄封包(大概錄個4-5分鐘..)
    看是否可以透過此動作找到哪一台電腦在發出這種登入的request


    蒐集完的檔案在上傳到之前的網路空間給我..看是否可以看出端倪囉

    Thanks

    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已提議為解答 Vincent Lin 2009年12月29日 上午 05:47
    • 已標示為解答 Vincent Lin 2010年1月14日 上午 11:14
    2009年12月23日 上午 10:04
  • 補充一下..我覺得這個問題有可能是網域中有某一台電腦是有感染Conficker蠕蟲
    因為症狀還滿像的(DC會忙碌)..導致在2008DC上面的事件紀錄(目錄服務)有發現下列錯誤訊息

    描述大概如下

    Event ID : 1083
    Event Type: Warning
    Event Source: NTDS Replication
    Event Category: Replication
    Event ID: 1083
    Description:
    Replication warning: The directory is busy. It couldn't update object CN=... with changes made by directory GUID._msdcs.domain. Will try again later.

    如果可以的話..可以檢查看看網域內是否有電腦是沒有更新到最新的..看看是否有漏網之魚

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已提議為解答 Vincent Lin 2009年12月29日 上午 05:47
    • 已標示為解答 Vincent Lin 2010年1月14日 上午 11:14
    2009年12月23日 上午 10:10
  • 感謝Vincent前輩的回覆~
    我已依照建議在檢查WSUS上有無漏網之魚,目前只看到除了公用的NB外其他都有更新了(待會來更新)。
    LOG也抓下來了了~看起來真的是怪怪的~
    不過目前似乎沒發生狀況,所以只能先裝Network Monitor等待下次發生的時候~
    到時再請前輩幫忙~
    萬分感激~
    2009年12月24日 上午 07:12
  • 你可以在持續觀察DC上面的事件紀錄"安全性",看看是否還有那些登入失敗的訊息
    如果還是有..你就可以進行封包的錄製了

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月24日 上午 07:24
  • 會不會是郵件伺服器受到POP3攻擊阿...  我公司的帳號鎖定,通常是這個造成的。
    請檢查防火牆Log(攻擊時到郵件伺服器的連線)... 除非是DOS攻擊(多IP同時),大部分都是同IP走TCP 110(POP3)進來。
    都是中木馬後被當成跳板的電腦... 常常換來換去,擋IP也是沒用的..

    因為我們設定10分鍾內5次登入失敗就鎖,30分鍾後自動解鎖。
    非上班時間被攻擊就不處理,上班時間攻擊就把POP3先關掉(ISA規則停用)。

    使用者帳號不要用常見的英文名子也會有改善(大部分是字典攻擊),除非使用者是業務或人資單位... (若可以請用群組或別名)
    沒用POP3又是常用英文名子,就把該帳號的POP3關掉。

    若是POP3問題,多到Exchange版爬文看看喔...

    2010年1月4日 上午 02:23