2008r2 DC 上的 Windows 7 帳戶不斷被隨機鎖定
正如標題所述,這隨機發生在我們的 Windows 2008R2 域控制器上的 Windows 7 帳戶中。
在從 123together 託管交換更改為 Rackspace 託管交換之後,我們剛剛開始發生這種情況。同樣在這個時候,我們在 DC 上的密碼開始到期,但不是確切的日期,而且每個人都有不同的日子需要更改它。
它只影響了 30 個帳戶中的 10 個(我知道是哪些帳戶),而且我看不到它們之間的任何联系。
如何確定哪些服務正在嘗試登錄並失敗?
當我們切換到 Rackspace Hosted Exchange 時,我遇到了同樣的問題。我什至購買了 Netrix Lockout Examiner 試圖確定問題,但無濟於事。
在試圖弄清楚為什麼有些使用者經常被鎖定而有些使用者沒有被鎖定後,我終於意識到被鎖定的是那些與他們的電子郵件地址具有相同 Windows 登錄名的使用者。我一直懷疑的情況肯定是這樣。
Outlook 將 jdoe@yourdomain.com 憑據傳遞給伺服器,然後將其發送到 Rackspace,並且由於技術上 jdoe@yourdomain.com 在您的 DC 上是相同的,並且密碼不同,因此會將其鎖定。
您有兩個選擇(都不是很好): 1. 讓所有使用者的 Exchange 密碼與他們的 Windows 相同 2. 將他們的 Windows 登錄名重命名為與您的電子郵件不同的命名方案(John.Doe 與 jdoe)
我為此花了很多時間並聯繫了 Rackspace 和 Microsoft,但都無法提供更好的解決方案。有了這些資訊,如果您能夠尋求更好的解決方案,請分享。
在你去解決問題之前,你必須實際辨識問題。
首先在您的 DC 上啟用帳戶登錄事件的審核日誌記錄。然後找出錯誤密碼嘗試的來源。帳戶鎖定和管理工具將幫助辨識帳戶上的最後一次錯誤密碼嘗試(使用)
lockoutstatus.exe。AD 帳戶不會將自己鎖定,因此某些/某人正在為這些使用者創建錯誤的身份驗證請求。