Gpupdate di Windows 2008 R2 blocca il mio account utente

9

L'anno scorso ho creato un server Windows 2008 R2 e da quando il mio account elevato si blocca 10-12 volte al giorno. Dopo molte ricerche e test ho scoperto che il server sta bloccando il mio account ad ogni tentativo fallito di aggiornare i Criteri di gruppo (circa ogni 90 minuti). Non ho trovato informazioni sul web che indicano che qualcun altro ha visto questo e lo trovo incredibile da solo.

Ogni volta che 3 eventi di sistema vengono registrati sul server:

ID evento 14: la password memorizzata in Credential Manager non è valida. Ciò potrebbe essere causato dall'utente che modifica la password da questo computer o da un altro computer. Per risolvere questo errore, aprire Credential Manager nel Pannello di controllo e reinserire la password per la credenziale contoso \ me.

Non ci sono voci in Credential Manager. Ciò accade indipendentemente dal fatto che disabiliti o meno il servizio Credential Manager, sia che io abbia effettuato l'accesso, sia che esca o meno e che utilizzi un account di amministratore locale per eliminare il mio profilo.

ID evento 40960: il sistema di sicurezza ha rilevato un errore di autenticazione per il server cifs / ContosoDC.contoso.com. Il codice di errore dal protocollo di autenticazione Kerberos era "L'account utente è stato bloccato automaticamente perché sono stati richiesti troppi tentativi di accesso non validi o tentativi di modifica della password. (0xc0000234)".

-

ID evento 1058:

L'elaborazione di Criteri di gruppo non è riuscita. Windows ha tentato di leggere il file \ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini da un controller di dominio e non è riuscito. Le impostazioni di Criteri di gruppo non possono essere applicate fino alla risoluzione di questo evento. Questo problema può essere temporaneo e potrebbe essere causato da uno o più dei seguenti: a) Risoluzione dei nomi / Connettività di rete al controller di dominio corrente. b) Latenza del servizio di replica file (un file creato su un altro controller di dominio non è stato replicato sul controller di dominio corrente). c) Il client DFS (Distributed File System) è stato disabilitato.

Ho controllato gli articoli ac, nessuno sembra essere il caso.

L'ho provato accuratamente controllando che l'account utente non sia bloccato, eseguendo gpupdate sul server e quindi ricontrollando l'account utente, che si blocca immediatamente. Ho usato gli strumenti di blocco per rivelare che tutti i blocchi provengono da questo particolare server. L'account utente non ha un indirizzo e-mail associato e ho studiato a fondo la solita serie di problemi noti di blocco.

Qualche indizio per me? Mi sto preparando per smontare questo server di produzione e ripristinare il suo oggetto computer in AD, ma non so che sarà di aiuto.

windows-server-2008-r2  group-policy  active-directory 
Operazioni server Windows
fonte
2
Hai una configurazione di servizio con il tuo nome utente? Che dire di una sessione RDP disconnessa? In che ordine li stai ricevendo? Immagino che 40960 sia il processo di blocco e il resto ne sia il risultato.
Nixphoe,

Risposte:

8

Apparentemente, ci possono essere password nel gestore delle credenziali che non vengono visualizzate. Oppure, per citare questo link :

Esistono password che possono essere archiviate nel contesto SYSTEM che non possono essere visualizzate nella normale vista di Credential Manager.

Scarica PsExec.exe da http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx e copialo in C: \ Windows \ System32.

Da un prompt dei comandi eseguire: psexec -i -s -d cmd.exe

Dalla nuova finestra DOS eseguita: rundll32 keymgr.dll,KRShowKeyMgr

Rimuovere tutti gli elementi che appaiono nell'elenco di nomi utente e password memorizzati. Riavvia il computer.

Spero che risolva il tuo problema.

Katherine Villyard
fonte
1
Vorrei poterti dare più di un voto. Non avrei mai pensato di cercare nel credenziale dell'account SYSTEM credenziali salvate come questa.
bshacklett,
1

Se il gestore delle credenziali non aiuta, proverei a mettere il sistema in un'unità organizzativa senza alcun oggetto Criteri di gruppo da testare.

Se il problema persiste, è correlato all'oggetto Criteri di gruppo di dominio predefinito, un oggetto Criteri di gruppo che si applica all'intero dominio o non è correlato all'oggetto Criteri di gruppo. In entrambi i casi, questo può aiutare a limitare l'ambito di ricerca.

Da un prompt cmd, utilizzare gpupdate per testare le modifiche senza dover attendere e gpresult / R per vedere quali oggetti Criteri di gruppo sono stati applicati al sistema.

Se si ritiene che sia ancora coinvolto un oggetto Criteri di gruppo, utilizzare il filtro WMI per impedire l'applicazione degli oggetti Criteri di gruppo.

Si noti inoltre che potrebbero essere applicati oggetti Criteri di gruppo a livello di sito, ma verranno visualizzati quelli nell'output di gpresult.

Se riesci a limitare i blocchi con la riduzione degli oggetti Criteri di gruppo, aggiungili uno alla volta all'unità organizzativa per trovare quello che fa parte della causa. Quindi ricerca quell'oggetto Criteri di gruppo per trovare la risoluzione.

Anche qui c'è un elenco di cose che controllo quando l'account viene bloccato e conosco già il sistema da cui proviene. Servizi Attività pianificate Unità mappate App Web Console VM Console KVM Sessioni RDP Script App helper PW Connessione VPN Altri dispositivi che si connettono alla posta elettronica Strumenti di Desktop remoto Applicazioni che eseguono Credential Manager

Jason Landstrom
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.