Windows 2008 R2 gpupdate блокирует мою учетную запись

9

Я построил сервер Windows 2008 R2 в прошлом году, и с тех пор моя повышенная учетная запись блокируется 10-12 раз в день. После долгих исследований и испытаний я обнаружил, что сервер блокирует мою учетную запись при каждой неудачной попытке обновить групповую политику (примерно каждые 90 минут). В Интернете я не нашел никакой информации, указывающей на то, что кто-то еще видел это, и сам я считаю это невероятным.

Каждый раз 3 системных события регистрируются на сервере:

Код события 14: пароль, сохраненный в диспетчере учетных данных, недействителен. Это может быть вызвано тем, что пользователь изменил пароль с этого компьютера или другого компьютера. Чтобы устранить эту ошибку, откройте диспетчер учетных данных на панели управления и повторно введите пароль для учетных данных contoso \ me.

В Диспетчере учетных записей нет записей. Это происходит независимо от того, отключу ли я службу диспетчера учетных данных, войду я в систему или нет, выйду ли я и использую локальную учетную запись администратора для удаления своего профиля.

Код события 40960: Система безопасности обнаружила ошибку аутентификации на сервере cifs / ContosoDC.contoso.com. Код ошибки из протокола аутентификации Kerberos был «Учетная запись пользователя была автоматически заблокирована, поскольку было запрошено слишком много неверных попыток входа в систему или попыток смены пароля. (0xc0000234)».

-

Событие с кодом 1058:

Обработка групповой политики не удалась. Windows попыталась прочитать файл \ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini с контроллера домена и не удалась. Параметры групповой политики нельзя применять до тех пор, пока это событие не будет разрешено. Эта проблема может быть временной и может быть вызвана одним или несколькими из следующих действий: a) Разрешение имени / Сетевое подключение к текущему контроллеру домена. b) Задержка службы репликации файлов (файл, созданный на другом контроллере домена, не реплицируется на текущий контроллер домена). c) Клиент распределенной файловой системы (DFS) был отключен.

Я проверил пункты AC, ни один, кажется, не так.

Я тщательно проверил это, проверив, что учетная запись пользователя не заблокирована, запустив gpupdate на сервере, а затем повторно проверил учетную запись пользователя, которая немедленно блокируется. Я использовал инструменты блокировки, чтобы показать, что все блокировки происходят с этого конкретного сервера. У учетной записи пользователя нет связанного адреса электронной почты, и я тщательно изучил обычный ряд известных проблем блокировки.

Какие-нибудь подсказки для меня? Я готовлюсь снять этот рабочий сервер и сбросить его компьютерный объект в AD, но я не знаю, что это поможет.

windows-server-2008-r2 group-policy active-directory Windows Server Ops
источник
2
У вас есть настройка сервиса с вашим именем пользователя? А как насчет отключенного сеанса RDP? В каком порядке вы их получаете? Я бы предположил, что 40960 - это процесс блокировки, а остальные - результат этого.
Nixphoe

Ответы:

8

Очевидно, в диспетчере учетных данных могут быть пароли, которые не отображаются. Или, чтобы процитировать эту ссылку :

Есть пароли, которые можно сохранить в контексте SYSTEM, которые нельзя увидеть в обычном представлении диспетчера учетных данных.

Загрузите PsExec.exe с http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx и скопируйте его в C: \ Windows \ System32.

Из командной строки запустите: psexec -i -s -d cmd.exe

Из нового окна DOS запустите: rundll32 keymgr.dll,KRShowKeyMgr

Удалите все элементы, которые появляются в списке сохраненных имен пользователей и паролей. Перезагрузите компьютер.

Надеюсь, это решит вашу проблему.

Кэтрин Вилляр
источник
1
Я хотел бы дать вам больше, чем один голос. Я никогда бы не подумал искать в контексте учетной записи SYSTEM сохраненные учетные данные, как это.
bshacklett
1

Если диспетчер учетных данных не помогает, я попытался бы поместить систему в подразделение без каких-либо объектов групповой политики для тестирования.

Если проблема все еще возникает, она связана с GPO домена по умолчанию, GPO, который применяется ко всему домену или не связан с GPO. В любом случае это может помочь ограничить область поиска.

В командной строке cmd используйте gpupdate для тестирования изменений без ожидания и gpresult / R, чтобы увидеть, какие объекты групповой политики применяются к системе.

Если вы считаете, что объект групповой политики все еще используется, используйте фильтр WMI для предотвращения применения объектов групповой политики.

Также обратите внимание, что на уровне сайта могут применяться объекты групповой политики, но вы увидите их в выводе gpresult.

Если вы можете ограничить блокировки с помощью уменьшения количества объектов групповой политики, добавьте их в подразделение по одному, чтобы найти тот, который является частью причины. Затем исследуйте этот объект, чтобы найти разрешение.

Также вот список того, что я проверяю, когда учетная запись блокируется, и я уже знаю систему, из которой она поступает. Службы Запланированные задачи Сопоставленные диски Веб-приложения Консоль VM Консоль KVM Сеансы RDP Сценарии Вспомогательные приложения PW Подключение VPN Другие устройства, которые подключаются к электронной почте Инструменты удаленного рабочего стола Приложения, которые запускают диспетчер учетных данных

Джейсон Ландстрем
источник