正如标题所述,这种情况随机发生在我们的 Windows 2008R2 域控制器上的 Windows 7 帐户上。
在从 123together hosted exchange 更改为 Rackspace hosted exchange 之后,我们才刚刚开始发生这种情况。大约在这个时候,我们在 DC 上的密码开始过期,但不是确切的日期,每个人都有不同的日期需要更改它。
它只影响了 30 个帐户中的 10 个(我知道是哪些),而且我看不出它们之间有任何联系。
我怎样才能弄清楚哪些服务正在尝试登录并失败?
当我们切换到 Rackspace Hosted Exchange 时,我遇到了同样的问题。我什至购买了 Netrix Lockout Examiner 试图确定问题,但无济于事。
在试图找出为什么有些用户经常被锁定而有些用户没有被锁定之后,我终于意识到被锁定的是那些与他们的电子邮件地址具有相同 Windows 登录名的用户。我一直怀疑的情况确实如此。
Outlook 将 [email protected] 凭据传递给服务器,在它到达 Rackspace 的途中,并且由于技术上 [email protected] 在您的 DC 上是相同的并且密码不同,因此将它们锁定。
您有两个选择(都不是很好): 1. 让所有用户保持他们的 Exchange 密码与他们的 Windows 密码相同 2. 将他们的 Windows 登录名重命名为与您的电子邮件不同的命名方案(John.Doe Vs. jdoe)
我为此花费了很多时间并联系了 Rackspace 和 Microsoft,但都无法提供更好的解决方案。有了这些信息,如果您能够寻求更好的解决方案,请分享。
在解决问题之前,您必须真正确定问题所在。
首先在您的 DC 上为帐户登录事件启用审核日志记录。然后找出错误密码尝试的来源。帐户锁定和管理工具将帮助识别帐户的最后一次错误密码尝试(使用
lockoutstatus.exe)。AD 帐户不会将自己锁定在外面,因此某些人/某人正在为这些用户创建错误的身份验证请求。
这是展望。我让一个用户打开和关闭这个程序,连接服务器需要几秒钟,然后当我运行 Lockoutstatus(来自帐户锁定工具)时,每个“错误密码”都与他打开 Outlook 的确切时间一致. 不过,每次开局有 3 到 5 次“失败尝试”,而不仅仅是一次。
不过,我们使用 Rackspace Hosted Exchange 2010。我们确实使用与我们在域控制器上登录时相同的 [email protected]。所以,我是 [email protected],我也以 matt.hughes 的身份登录到我们的 DC
如何解决这个问题,为什么它只影响少数人而不是我们所有人?
我发现了一些东西终于阻止了它。
我输入了他们为我们的系统记录的 Rackspace 唯一用户名。您必须联系他们才能获得此列表。我将这个唯一的用户名放在 Outlook 的 Windows 凭据管理器中,而不是我的电子邮件地址,并且没有更改密码。因此,我现在的用户名不是“[email protected]”,而是“mex05\johnny.hendricks_mydoB3039”。
这为一些用户修复了它。对于剩下的,我发现了一个我以前没有想到的额外的东西。
在 Active Directory 中,如果您进入用户属性,请查看用户名的 @_______ 我们在 johnny.hendricks 的每个人都有用户名,在下拉列表中,我们有 @mydomain.com 我将其切换为 @mydomain.local,它修复了每个人的错误密码尝试。这可能是最初的问题,但其他修复也有效,所以谁知道呢。