Gpupdate systemu Windows 2008 R2 blokuje moje konto użytkownika

9

W zeszłym roku zbudowałem serwer Windows 2008 R2 i od tego czasu moje podwyższone konto blokuje się 10-12 razy dziennie. Po wielu badaniach i testach odkryłem, że serwer blokuje moje konto przy każdej nieudanej próbie aktualizacji Zasad Grupy (co około 90 minut). Nie znalazłem w sieci żadnych informacji wskazujących, że ktokolwiek to widział, i sam uważam to za niewiarygodne.

Za każdym razem, gdy 3 zdarzenia systemowe są rejestrowane na serwerze:

Identyfikator zdarzenia 14: Hasło zapisane w menedżerze poświadczeń jest nieprawidłowe. Przyczyną może być zmiana hasła przez użytkownika z tego komputera lub innego komputera. Aby rozwiązać ten błąd, otwórz Credential Manager w Panelu sterowania i ponownie wprowadź hasło dla contoso \ me.

Brak wpisów w Menedżerze poświadczeń. Dzieje się tak niezależnie od tego, czy wyłączę usługę Credential Manager, czy jestem zalogowany, czy wyloguję się i użyję lokalnego konta administratora, aby usunąć mój profil.

Identyfikator zdarzenia 40960: System bezpieczeństwa wykrył błąd uwierzytelnienia dla serwera cifs / ContosoDC.contoso.com. Kod błędu z protokołu uwierzytelniania Kerberos brzmiał: „Konto użytkownika zostało automatycznie zablokowane, ponieważ zażądano zbyt wielu nieudanych prób logowania lub prób zmiany hasła. (0xc0000234)”.

-

Identyfikator zdarzenia 1058:

Przetwarzanie zasad grupy nie powiodło się. System Windows próbował odczytać plik \ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini z kontrolera domeny i nie powiodło się. Ustawienia zasad grupy mogą zostać zastosowane dopiero po rozwiązaniu tego zdarzenia. Ten problem może być przejściowy i może być spowodowany przez jedną lub więcej z następujących czynności: a) Rozpoznawanie nazw / łączność sieciowa z bieżącym kontrolerem domeny. b) Opóźnienie usługi replikacji plików (plik utworzony na innym kontrolerze domeny nie został zreplikowany na bieżącym kontrolerze domeny). c) Klient Distributed File System (DFS) został wyłączony.

Sprawdziłem przedmioty ac, chyba nic takiego nie jest.

Dokładnie to przetestowałem, sprawdzając, czy konto użytkownika nie jest zablokowane, uruchamiając gpupdate na serwerze, a następnie ponownie sprawdzając konto użytkownika, które natychmiast się blokuje. Użyłem narzędzi do blokowania, aby ujawnić, że wszystkie blokady pochodzą z tego konkretnego serwera. Konto użytkownika nie ma powiązanego adresu e-mail, a ja obszernie przeanalizowałem szereg znanych problemów z blokadą.

Jakieś wskazówki dla mnie? Przygotowuję się do usunięcia tego serwera produkcyjnego i zresetowania jego obiektu komputerowego w AD, ale nie wiem, czy to pomoże.

windows-server-2008-r2 group-policy active-directory Windows Server Ops
źródło
2
Czy masz konfigurację usługi z nazwą użytkownika? Co z rozłączoną sesją RDP? W jakiej kolejności je otrzymujesz? Domyślam się, że 40960 jest procesem blokowania, a reszta wynika z tego.
Nixphoe,

Odpowiedzi:

8

Najwyraźniej w menedżerze poświadczeń mogą znajdować się hasła, które się nie pojawiają. Lub, aby zacytować ten link :

Istnieją hasła, które można przechowywać w kontekście SYSTEMU, których nie można zobaczyć w normalnym widoku Menedżera poświadczeń.

Pobierz PsExec.exe ze strony http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx i skopiuj go do C: \ Windows \ System32.

Z poziomu wiersza polecenia uruchom: psexec -i -s -d cmd.exe

Z nowego okna DOS uruchom: rundll32 keymgr.dll,KRShowKeyMgr

Usuń wszystkie elementy, które pojawiają się na liście Przechowywanych nazw użytkowników i haseł. Zrestartuj komputer.

Mam nadzieję, że rozwiąże to twój problem.

Katherine Villyard
źródło
1
Chciałbym dać ci więcej niż jedną opinię. Nigdy bym nie pomyślał o szukaniu w kontekście konta SYSTEM takich zapisanych poświadczeń.
bshacklett,
1

Jeśli menedżer poświadczeń nie pomoże, spróbuję umieścić system w jednostce organizacyjnej bez żadnych obiektów GPO do przetestowania.

Jeśli problem nadal występuje, jest związany z domyślnym GPO domeny, GPO, który dotyczy całej domeny lub nie jest związany z GPO. W obu przypadkach może to pomóc ograniczyć zakres wyszukiwania.

W wierszu poleceń cmd użyj gpupdate, aby przetestować zmiany bez konieczności oczekiwania, a gpresult / R, aby zobaczyć, które obiekty GPO zastosowane w systemie.

Jeśli uważasz, że obiekt GPO jest nadal zaangażowany, użyj filtru WMI, aby uniemożliwić zastosowanie obiektów GPO.

Pamiętaj również, że na poziomie witryny mogą być stosowane obiekty GPO, ale zobaczysz je w wynikach gpresult.

Jeśli jesteś w stanie ograniczyć blokady z redukcją obiektów GPO, dodaj je do jednostki organizacyjnej pojedynczo, aby znaleźć tę, która jest częścią przyczyny. Następnie zbadaj ten GPO, aby znaleźć rozdzielczość.

Oto lista rzeczy, które sprawdzam, gdy konto zostaje zablokowane i już znam system, z którego pochodzi. Usługi Zaplanowane zadania Mapowane dyski Aplikacje internetowe Konsola VM Konsola KVM Sesje RDP Skrypty Aplikacje pomocnicze PW Połączenie VPN Inne urządzenia łączące się z pocztą e-mail Narzędzia pulpitu zdalnego Aplikacje uruchamiające Credential Manager

Jason Landstrom
źródło