1. Skip to Menu
  2. Skip to Content
  3. Skip to Footer

Поиск причин блокировки учетной записи

 

Вы можете дебажить события аутентификации NTLM, выполнив следующие шаги:

1) Включите логирование событий netlogon. Для этого, на контроллерах домена откройте раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\ и создайте переменную типа REG_DWORD с названием DbFlag и значением 0x2080ffff;

2) Перезапустите службу Netlogon командами net stop netlogon, net start netlogon;

3) Скопируйте файлы C:\windows\debug\netlogon.txt с контроллеров домена в отдельную папку;

4) В Notepad++ или аналогичной программе найдите в этих файлах все неправильно предъявленные пользователем пароли по коду ошибки 0xC000006A;

5) В Notepad++ или аналогичной программе найдите в этих файлах все события блокировки учетных записей по коду ошибки 0xC0000234;

 

Дебажить события аутентификации Kerberos:

1) Смотрите на контроллерах домена логи Security на предмет наличия событий с кодом 4740

Кроме того, если у вас используется ISA или TMG сервер, то можно проследить причины блокировки в его Web Proxy логах - ищите в них событие (HTTP Error code) с кодом 1909. Пример того, что вы можете увидеть такой:

195.151.236.14 anonymous Apple-iPhone4C1/1002.329 2013-08-07 10:39:31 SRVGW02 - mail.domain.ru 10.0.1.10 443 16 250 3348 https OPTIONS http://mail.domain.ru/Microsoft-Server-ActiveSync - - 1909 Publish ActiveSync Req ID: 0ee891ee; Compression: client=No, server=No, compress rate=0% decompress rate=0% ; FBA cookie: exists=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes - - 0x0 Failed - - - - - - - - 0 - 0 - - - Web Proxy mail.domain.ru 41651 -

 

 

Добавить комментарий