none
AD上帳號被鎖定 RRS feed

  • 問題

  • 大家好:

    同事電腦在沒人用的情況下被突然鎖定

    AD的SERVER是2012 R2

    然後有建立兩個AD

    查詢了一下兩台的log發現有問題的錯誤如下列兩筆

    ----------------------------------------------------------

    帳戶無法登入。

    主旨:
    安全性識別碼: SYSTEM
    帳戶名稱: OADC01$
    帳戶網域: TXXA
    登入識別碼: 0x3E7

    登入類型: 3

    登入失敗的帳戶:
    安全性識別碼: NULL SID
    帳戶名稱: tas1X5
    帳戶網域: TXXA

    失敗資訊:
    失敗原因: 不明的使用者名稱或錯誤密碼。
    狀態: 0xC000006D
    子狀態: 0xC000006A

    處理程序資訊:
    呼叫者處理程序識別碼: 0x224
    呼叫者處理程序名稱: C:\Windows\System32\svchost.exe

    網路資訊:
    工作站名稱: -
    來源網路位址: -
    來源連接埠: -

    詳細驗證資訊:
    登入處理程序: CHAP
    驗證封裝: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    轉送的服務: -
    封裝名稱 (僅限 NTLM): -
    金鑰長度: 0

    當登入要求失敗的時候,就會產生這個事件。這個事件在嘗試存取的電腦上產生。

    主旨欄位顯示要求登入的本機系統上的帳戶。這通常是發生在服務 (例如伺服器服務) 或是本機處理程序 (例如 Winlogon.exe 或 Services.exe)。

    登錄類型欄位顯示要求的登入類型。最常見的類型是 2 (互動式) 與 3 (網路)。

    處理程序資訊欄位顯示系統上哪個帳戶與處理程序要求登入。

    網路資訊欄位顯示遠端登入要求的來源。工作站名稱不是每次都有,並可能在某些狀況是空白。

    驗證資訊欄位提供關於此次特定登入要求的詳細資訊。
    - 轉送的服務欄位顯示哪一個中介服務已經加入這個登入要求。
    - 封裝名稱欄位顯示在 NTLM 通訊協定中使用哪一個子協定。
    - 金鑰長度欄位顯示產生的工作階段金鑰長度。如果沒有要求工作階段金鑰則為 0。

    ---------------------------------------------------------------------------------------

    Kerberos 預先驗證失敗。

    帳戶資訊:
    安全性識別碼: TXXA\TAS1*5
    帳戶名稱: TAS1X5

    服務資訊:
    服務名稱: krbtgt/TXXA

    網路資訊:
    用戶端位址: ::ffff:192.168.0.99
    用戶端連接埠: 59979

    其他資訊:
    票證選項: 0x40810010
    錯誤碼: 0x12
    預先驗證類型: 0

    憑證資訊:
    憑證簽發者名稱:
    憑證序號:
    憑證指紋:

    如果憑證用於預先驗證,才會提供憑證資訊。

    預先驗證類型、票證選項與錯誤碼定義於 RFC 4120。

    如果在傳輸期間,票證格式不正確或是損毀,以致於無法解密,則這個事件很多欄位可能不會顯示。

    ---------------------------------------------------------------------------

    不知道有沒有人有遇到過相同類似的問題然後解決的

    想知道究竟是哪個環節導致帳號會自動鎖定的...

    謝謝大家


    • 已編輯 韓吉 2017年9月30日 上午 07:37 修正
    2017年9月29日 上午 06:24

所有回覆