Windows 2008 R2 gpupdate ล็อคบัญชีผู้ใช้ของฉัน

ฉันสร้างเซิร์ฟเวอร์ Windows 2008 R2 เมื่อปีที่แล้วและนับตั้งแต่บัญชีที่ยกระดับของฉันล็อค 10-12 ครั้งต่อวัน หลังจากการวิจัยและทดสอบมากมายฉันพบว่าเซิร์ฟเวอร์กำลังล็อคบัญชีของฉันในแต่ละครั้งที่พยายามอัปเดตนโยบายกลุ่ม (ล้มเหลวทุก 90 นาที) ฉันไม่พบข้อมูลในเว็บที่ระบุว่ามีบุคคลอื่นเห็นสิ่งนี้และฉันพบว่ามันไม่น่าเชื่อเลย

แต่ละครั้งที่ 3 เหตุการณ์ของระบบถูกบันทึกไว้บนเซิร์ฟเวอร์:

รหัสเหตุการณ์ 14: รหัสผ่านที่เก็บไว้ในตัวจัดการข้อมูลประจำตัวไม่ถูกต้อง อาจเกิดจากผู้ใช้เปลี่ยนรหัสผ่านจากคอมพิวเตอร์เครื่องนี้หรือคอมพิวเตอร์เครื่องอื่น เมื่อต้องการแก้ไขข้อผิดพลาดนี้ให้เปิดตัวจัดการข้อมูลประจำตัวในแผงควบคุมแล้วป้อนรหัสผ่านอีกครั้งสำหรับข้อมูลประจำตัว

ไม่มีรายการใน Credential Manager สิ่งนี้เกิดขึ้นไม่ว่าฉันจะปิดใช้งานบริการ Credential Manager หรือไม่ก็ตามฉันเข้าสู่ระบบหรือไม่ว่าฉันจะออกจากระบบและใช้บัญชีผู้ดูแลระบบท้องถิ่นเพื่อลบโปรไฟล์ของฉัน

รหัสเหตุการณ์ 40960: ระบบความปลอดภัยตรวจพบข้อผิดพลาดการรับรองความถูกต้องสำหรับเซิร์ฟเวอร์ cifs / ContosoDC.contoso.com รหัสความล้มเหลวจากโปรโตคอลการตรวจสอบความถูกต้อง Kerberos คือ "บัญชีผู้ใช้ถูกล็อคโดยอัตโนมัติเพราะมีการพยายามเข้าสู่ระบบที่ไม่ถูกต้องมากเกินไปหรือมีการร้องขอความพยายามเปลี่ยนรหัสผ่าน (0xc0000234)"

-

รหัสเหตุการณ์ 1058:

การประมวลผลนโยบายกลุ่มล้มเหลว Windows พยายามอ่านไฟล์ \ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini จากตัวควบคุมโดเมนและไม่สำเร็จ การตั้งค่านโยบายกลุ่มอาจไม่สามารถใช้งานได้จนกว่าเหตุการณ์นี้จะได้รับการแก้ไข ปัญหานี้อาจเกิดขึ้นชั่วคราวและอาจเกิดจากสิ่งใดสิ่งหนึ่งต่อไปนี้: ก) การแก้ปัญหาชื่อ / การเชื่อมต่อเครือข่ายกับตัวควบคุมโดเมนปัจจุบัน b) การจำลองการให้บริการไฟล์ (ไฟล์ที่สร้างบนตัวควบคุมโดเมนอื่นไม่ได้จำลองแบบไปยังตัวควบคุมโดเมนปัจจุบัน) c) ไคลเอนต์ Distributed File System (DFS) ถูกปิดใช้งาน

ฉันตรวจสอบรายการต่าง ๆ ไม่มีอะไรเป็นไปได้

ฉันได้ทำการทดสอบอย่างละเอียดโดยการตรวจสอบว่าบัญชีผู้ใช้ไม่ได้ล็อคอยู่รัน gpupdate บนเซิร์ฟเวอร์จากนั้นตรวจสอบบัญชีผู้ใช้อีกครั้งซึ่งล็อคทันที ฉันใช้เครื่องมือล็อกเอาต์เพื่อเปิดเผยว่าการล็อกเอาต์ทั้งหมดมาจากเซิร์ฟเวอร์นี้โดยเฉพาะ บัญชีผู้ใช้ไม่มีที่อยู่อีเมลที่เชื่อมโยงกันและฉันได้ทำการค้นคว้าอย่างกว้างขวางเกี่ยวกับปัญหาการปิดกั้นที่ทราบกันทั่วไป

เบาะแสใด ๆ สำหรับฉัน ฉันพร้อมที่จะทำลายเซิร์ฟเวอร์ที่ใช้งานจริงนี้และรีเซ็ตวัตถุคอมพิวเตอร์เป็น AD แต่ฉันไม่รู้ว่ามันจะช่วยได้

เห็นได้ชัดว่าอาจมีรหัสผ่านในตัวจัดการข้อมูลรับรองที่ไม่แสดง หรืออ้างลิงค์นี้ :

มีรหัสผ่านที่สามารถเก็บไว้ในบริบทของระบบที่ไม่สามารถมองเห็นได้ในมุมมอง Credential Manager ปกติ

ดาวน์โหลด PsExec.exe จาก http://technet.microsoft.com/en-us/sysinternals/bb897553.aspxและคัดลอกไปที่ C: \ Windows \ System32

จากการเรียกใช้พร้อมท์คำสั่ง: psexec -i -s -d cmd.exe

จากหน้าต่าง DOS ใหม่ที่รัน: rundll32 keymgr.dll,KRShowKeyMgr

ลบรายการใด ๆ ที่ปรากฏในรายการชื่อผู้ใช้ที่เก็บไว้และรหัสผ่าน รีสตาร์ทคอมพิวเตอร์

หวังว่าจะช่วยแก้ปัญหาของคุณ

หากตัวจัดการข้อมูลรับรองไม่ช่วยฉันจะลองวางระบบใน OU โดยไม่มี GPO ใด ๆ เพื่อทดสอบ

หากปัญหายังคงเกิดขึ้นมันเกี่ยวข้องกับโดเมนเริ่มต้น GPO, GPO ที่ใช้กับโดเมนทั้งหมดหรือไม่เกี่ยวข้องกับ GPO วิธีนี้จะช่วย จำกัด ขอบเขตการค้นหา

จากพรอมต์ cmd ใช้ gpupdate เพื่อทดสอบการเปลี่ยนแปลงโดยไม่ต้องรอและ gpresult / R เพื่อดู GPO ที่ใช้กับระบบ

หากคุณคิดว่า GPO ยังคงเกี่ยวข้องให้ใช้ตัวกรอง WMI เพื่อป้องกันไม่ให้วัตถุนโยบายกลุ่มนำไปใช้

โปรดทราบด้วยว่าอาจมี GPOs ที่ใช้ในระดับไซต์ แต่คุณจะเห็นรายการเหล่านั้นในเอาต์พุต gpresult

หากคุณสามารถ จำกัด การล็อกด้วยการลด GPO ให้เพิ่มเข้าไปใน OU ทีละครั้งเพื่อค้นหาอันที่เป็นส่วนหนึ่งของสาเหตุ จากนั้นทำการวิจัยที่ GPO เพื่อค้นหาความละเอียด

นี่คือรายการสิ่งที่ฉันตรวจสอบเมื่อบัญชีถูกล็อคและฉันรู้อยู่แล้วว่าระบบมาจากไหน บริการงานที่กำหนดเวลาไดรฟ์ที่แมปเว็บแอปคอนโซล VM เซสชัน KVM คอนโซล RDP สคริปต์ผู้ช่วย PW แอป VPN เชื่อมต่ออุปกรณ์อื่น ๆ ที่เชื่อมต่อกับอีเมลเครื่องมือเดสก์ท็อประยะไกล