O Windows 2008 R2 gpupdate bloqueia minha conta de usuário

9

Criei um servidor Windows 2008 R2 no ano passado e, desde que minha conta elevada é bloqueada 10 a 12 vezes por dia. Após muita pesquisa e teste, descobri que o servidor está bloqueando minha conta a cada tentativa falha de atualizar a Diretiva de Grupo (a cada 90 minutos). Não encontrei nenhuma informação na web indicando que mais alguém tenha visto isso, e acho isso inacreditável.

Cada vez que 3 eventos do sistema são registrados no servidor:

Identificação do evento 14: a senha armazenada no Credential Manager é inválida. Isso pode ser causado pelo usuário alterar a senha deste computador ou de um computador diferente. Para resolver esse erro, abra o Credential Manager no Painel de controle e digite novamente a senha da credencial contoso \ me.

Não há entradas no Credential Manager. Isso acontece se eu desabilito ou não o serviço Credential Manager, se estou conectado ou não, se saio ou não e uso uma conta de administrador local para excluir meu perfil.

Identificação de evento 40960: O Sistema de Segurança detectou um erro de autenticação para o servidor cifs / ContosoDC.contoso.com. O código de falha do protocolo de autenticação Kerberos era "A conta do usuário foi bloqueada automaticamente porque muitas tentativas inválidas de logon ou tentativas de alteração de senha foram solicitadas. (0xc0000234)".

-

Identificação do evento 1058:

O processamento da Diretiva de Grupo falhou. O Windows tentou ler o arquivo \ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini em um controlador de domínio e não obteve êxito. As configurações de Diretiva de Grupo podem não ser aplicadas até que este evento seja resolvido. Esse problema pode ser transitório e pode ser causado por um ou mais dos seguintes procedimentos: a) Resolução de nomes / conectividade de rede ao controlador de domínio atual. b) Latência do serviço de replicação de arquivos (um arquivo criado em outro controlador de domínio não foi replicado no controlador de domínio atual). c) O cliente DFS (Sistema de Arquivos Distribuídos) foi desativado.

Eu verifiquei os itens ac, nenhum parece ser o caso.

Testei isso minuciosamente, verificando se a conta do usuário não está bloqueada, executando o gpupdate no servidor e depois verificando novamente a conta do usuário, que bloqueia imediatamente. Eu usei ferramentas de bloqueio para revelar que todos os bloqueios são originários desse servidor específico. A conta do usuário não possui um endereço de e-mail associado e pesquisei extensivamente a matriz usual de problemas conhecidos de bloqueio.

Alguma pista para mim? Estou me preparando para derrubar esse servidor de produção e redefinir seu objeto de computador no AD, mas não sei se ele ajudará.

windows-server-2008-r2 group-policy active-directory Operações do Windows Server
fonte
2
Você tem uma configuração de serviço com seu nome de usuário? Que tal uma sessão RDP desconectada? Em que ordem você os está recebendo? Eu acho que 40960 é o processo de travamento e o resto é resultado disso.
Nixphoe

Respostas:

8

Aparentemente, pode haver senhas no gerenciador de credenciais que não sejam exibidas. Ou, para citar este link :

Existem senhas que podem ser armazenadas no contexto do SISTEMA que não podem ser vistas na visualização normal do Credential Manager.

Faça o download do PsExec.exe em http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx e copie-o para C: \ Windows \ System32.

Em um prompt de comandos, execute: psexec -i -s -d cmd.exe

Na nova janela do DOS, execute: rundll32 keymgr.dll,KRShowKeyMgr

Remova todos os itens que aparecem na lista de nomes de usuário e senhas armazenados. Reinicie o computador.

Espero que isso resolva seu problema.

Katherine Villyard
fonte
1
Eu gostaria de poder lhe dar mais de um voto positivo. Eu nunca teria pensado em procurar no contexto da conta SYSTEM credenciais salvas como esta.
bshacklett
1

Se o gerenciador de credenciais não ajudar, eu tentaria colocar o sistema em uma UO sem nenhum GPOs para testar.

Se o problema persistir, ele está relacionado ao GPO do domínio padrão, um GPO que se aplica a todo o domínio ou não está relacionado ao GPO. De qualquer maneira, isso pode ajudar a limitar o escopo da pesquisa.

Em um prompt do cmd, use gpupdate para testar as alterações sem ter que esperar e gpresult / R para ver quais GPOs se aplicam ao sistema.

Se você acha que um GPO ainda está envolvido, use o filtro WMI para impedir a aplicação de GPOs.

Observe também que pode haver GPOs aplicados no nível do site, mas você os verá na saída gpresult.

Se você conseguir limitar os bloqueios com a redução dos GPOs, adicione-os à UO um de cada vez para encontrar o que faz parte da causa. Em seguida, pesquise esse GPO para encontrar a resolução.

Também aqui está uma lista de coisas que verifico quando a conta está sendo bloqueada e eu já conheço o sistema de onde ela vem. Serviços Tarefas agendadas Unidades mapeadas Aplicativos da Web Console da VM Console KVM Sessões RDP Scripts Aplicativos auxiliares do PW Conexão VPN Outros dispositivos que se conectam ao email Ferramentas da área de trabalho remota Aplicativos que executam o Credential Manager

Jason Landstrom
fonte