<address id="thnfp"></address>
    

    <address id="thnfp"><th id="thnfp"><progress id="thnfp"></progress></th></address>
    <listing id="thnfp"><nobr id="thnfp"><meter id="thnfp"></meter></nobr></listing>
    


    dvbbs
    

    

    

    收藏本頁
    

    聯系我們
    

    論壇幫助
    

    

    


    

    

    

    dvbbs
    

    









 


 

    

    

    

    

    >> 電腦專業知識交流 
    

    

    

    

    搜一搜相關精彩主題 
    
 安易免費財務軟件交流論壇專業知識交流電腦知識交流 → 一次有意思的AD賬號鎖定排錯過程  
    

    

	
    

    

    

    

    您是本帖的第 960 個閱讀者 
    

    

    

    
樹形
打印

    

    標題:
    一次有意思的AD賬號鎖定排錯過程
    

    



    

    

    

    炙天
    

    帥哥喲,離線,有人找我嗎?

    

    

    

    

    等級:論壇游民
    

    文章:101
    

    積分:900
    

    注冊:2011年1月10日
    

    

    

    

    
樓主
     
點擊這里發送電子郵件給炙天

    

    

    發貼心情
    一次有意思的AD賬號鎖定排錯過程
    

    最近經歷了一次非常有意思的排錯,雖然經過了兩天的時間才找到原因,但是覺得這次排錯非常有意思,所以寫下來供以后參考,也給大家一個參考。
    環境介紹:
    在windows 2003的域環境中,有三臺DC,另外有Email的服務器,文件服務器,已經數據庫服務器等等。
    Domain function level為Windows2000 native(還沒有升到2003)
    Forest function level:windows2000
    出現的問題:
    在檢查日志的過程中發現有12294的報錯,報錯截圖如下:
    圖片點擊可在新窗口打開查看 
    起初以為只是個別現象,可能是管理員在遠程登錄時輸入錯了密碼,所以也沒有放在心上,但是隨后的發現讓我有些緊張。當我使用eventcombMT.exe這個工具檢測賬號時,發現EventID為675的security audit log中有幾百條關于管理員賬號驗證失敗的記錄。使用的驗證失敗錯誤完全一樣,如下:
    675,AUDIT FAILURE,Security,Tue Dec 28 18:00:27 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name: administrator     User ID:  %{S-1-5-21-2380125314-1135609519-1071393968-500}     Service Name: krbtgt/cn     Pre-Authentication Type: 0x2     Failure Code: 0x18     Client Address: 127.0.0.1    
    675,AUDIT FAILURE,Security,Tue Dec 28 17:58:52 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  administrator     User ID:  %{S-1-5-21-2380125314-1135609519-1071393968-500}     Service Name: krbtgt/cn     Pre-Authentication Type: 0x2     Failure Code: 0x18     Client Address: 127.0.0.1    
    675,AUDIT FAILURE,Security,Tue Dec 28 17:55:22 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  administrator      User ID:  %{S-1-5-21-2380125314-1135609519-1071393968-500}     Service Name: krbtgt/cn     Pre-Authentication Type: 0x2     Failure Code: 0x18     Client Address: 127.0.0.1    
    675,AUDIT FAILURE,Security,Tue Dec 28 17:54:37 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  administrator     User ID:  %{S-1-5-21-2380125314-1135609519-1071393968-500}     Service Name: krbtgt/cn     Pre-Authentication Type: 0x2     Failure Code: 0x18     Client Address: 127.0.0.1    
    675,AUDIT FAILURE,Security,Tue Dec 28 17:52:15 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  administrator     User ID:  %{S-1-5-21-2380125314-1135609519-1071393968-500}     Service Name: krbtgt/cn     Pre-Authentication Type: 0x2     Failure Code: 0x18     Client Address: 127.0.0.1    
    675,AUDIT FAILURE,Security,Tue Dec 28 17:50:52 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name:  administrator     User ID:  %{S-1-5-21-2380125314-1135609519-1071393968-500}     Service Name: krbtgt/cn     Pre-Authentication Type: 0x2     Failure Code: 0x18     Client Address: 127.0.0.1    
    675,AUDIT FAILURE,Security,Tue Dec 28 17:45:14 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name: administrator     User ID:  %{S-1-5-21-2380125314-1135609519-1071393968-500}     Service Name: krbtgt/cn     Pre-Authentication Type: 0x2     Failure Code: 0x18     Client Address: 127.0.0.1
    而且日志時間顯示幾乎每風中都有驗證錯誤的log,而且同時會有多條。
    排錯過程:
    從日志上看,
    EventID 675表示是表示登錄時Kerberos驗證錯誤
    Failure Code:0x18  表示驗證信息無效,密碼錯誤
    可以參考(http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=675#fields
    像是有人在不斷的嘗試管理員密碼,莫非是有人在攻擊?但是從client IP地址上看,都是127.0.0.1,又有可能是本地中了木馬。
    采取的措施:
    1.使用殺毒軟件對DC進行full scan,沒有發現病毒。
    2.根據Account lockout best pratices中介紹的查看本地的服務,盤符映射,計劃任務中是否有以這個用戶的賬號運行,以防止賬號密碼改了,沒有在這些任務中更新,使這些任務依然使用就密碼而造成不斷的報錯。
    3. 使用賬號鎖定檢查工具(Netwrix account lockout Examiner(http://www.netwrix.com))對賬號和服務器進行檢測,也沒有發現服務器,計劃任務,盤符映射等的問題,只是看到Invalid logon的次數在不斷增加。
    4. 運行DCdiag和Netdiag,沒有發現什么問題,一切正常。在EventID.Net中查找解決方式,發現沒有有效地方式。
    5.抓包,在本地抓包,并進行分析,沒有發現可疑的包,這確保了是在本地發生的。
    6.使用Process Explore檢查當前的進程是否有可疑進程,發現除了簽名是Symanctec的殺毒軟件和簽名是Microsoft的進程,沒有其它的進程。
    7. 這下奇怪了,再次使用EventcombMT.exe檢查,發現還是用很多EventID為675的報錯,而且實時都在發生。
    8. 通過開啟netlogon logging(執行nltest /dbflag:2080ffff,log存放在Systemroot\Debug\Netlogon.log),發現都是一些這樣的記錄:
    12/28 16:16:32 [LOGON] CN: SamLogon: Network logon of CN\administrator from domain controller name Entered
    沒有什么有價值的線索。于是關掉了netlogon loging(nltest /dbflag0不關掉會撐爆硬盤的)。
    在沒有辦法的時候,突然無意中發現了一個帖子,上面似乎跟我的狀態差不多,說是檢查一下DHCP服務器的DNS Dynamic Update Crendital,于是趕快等到DC上打開DHCP服務器,如下圖:
     
    圖片點擊可在新窗口打開查看
     
    圖片點擊可在新窗口打開查看 
    點擊Credential,果然是設了管理員用戶名和密碼,將密碼修改以后,過半小時,沒有再發現EventID為675的報錯了,問題解決。
    結論:
    這次問題主要出在管理員密碼修改之后,沒有修改DHCP中DNS Dynamic Update Credential的密碼,從而導致DHCP在動態想DNS同步PTR記錄時使用沒有修改密碼的credential,所以總是報錯。
    關于DHCP DNS Dynamic Update的問題,請參考http://technet.microsoft.com/en-us/library/cc787034(WS.10).aspx
    幾個比較好的鏈接:
    http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=675#fields
    http://www.windowsecurity.com/articles/Kerberos-Authentication-Events.html
    http://blog.sina.com.cn/s/blog_4d52cc8b0100mj9x.html
    http://net.it168.com/app/2007-07-31/200707311156578.shtml
    有用的工具:
    Account Lockout tool: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=7af2e69c-91f3-4e63-8629-b999adde0b9e
    Netwrix account lockout Examiner:http://www.netwrix.com (這個網站上有很多非常好的工具,有一些是免費的)
     DCDiag and Netdiag GUI:http://www.pbbergs.com/windows/downloads.htm
    

    

    

    

    
ip地址已設置保密
    2011/1/11 10:28:14
    

    

    


    

    

    

    

    

    

    

    
 1 
 1 
 1/1頁 
  
 1 
  


    


    



    


    







 

    網上貿易 創造奇跡! 阿里巴巴 Alibaba
    

    

    

    北京安易天地軟件有限公司北方論壇
    
聯系電話:010-51268244 13611231185 QQ:511102924
    Powered By Dvbbs  Version 7.1.0 Sp1
    頁面執行時間 0.10938 秒, 5 次數據查詢
    

    

    


    

    

Channel