为防止重复恶意登录尝试,Microsoft Entra 域服务托管域在定义的阈值后锁定帐户。 如果没有登录攻击事件,此帐户锁定也可能意外发生。 例如,如果用户重复输入了错误的密码或服务尝试使用旧密码,则帐户会被锁定。
此故障排除文章概述了帐户锁定发生的原因,以及如何配置行为,以及如何查看安全审核以排查锁定事件。
什么是帐户锁定?
当满足未成功登录尝试的已定义阈值时,域服务托管域中的用户帐户将被锁定。 此帐户锁定行为旨在保护你免受可能表示自动数字攻击的重复暴力登录尝试。
默认情况下,如果 2 分钟内有 5 次错误的密码尝试,帐户将被锁定。 它将在 30 分钟后自动解锁。
默认帐户锁定阈值是使用细化密码策略配置的。 如果你有一组特定的要求,则可以覆盖这些默认帐户锁定阈值。 但是,不建议增加阈值限制,以尝试减少帐户锁定数。 首先对帐户锁定行为的源进行故障排除。
细化密码策略
精细密码策略(FGPP)允许为域中的特定用户组设置密码和账户锁定策略的具体限制。 FGPP 仅影响托管域中的用户。 从 Microsoft Entra ID 同步到托管域的云用户和域用户仅受托管域中的密码策略的影响。 他们在 Microsoft Entra ID 或本地目录中的帐户不受影响。
通过管理域中的组关联来分发策略,您所做的任何更改将在下次用户登录时应用。 更改策略不会解除锁定已锁定的用户帐户。
有关细化密码策略的详细信息,以及直接在域服务中创建的用户与从 Microsoft Entra ID 同步的用户之间的差异,请参阅 “配置密码和帐户锁定策略”。
常见帐户锁定原因
在没有任何恶意意图或因素的情况下,锁定帐户的最常见原因包括以下情况:
- 用户把自己锁在外。
- 最近密码更改后,用户是否继续使用以前的密码? 用户无意中重试旧密码,可能会触发默认帐户锁定策略:2 分钟内有 5 次失败的尝试即会锁定帐户。
- 有一个具有旧密码的应用程序或服务。
- 如果应用程序或服务使用某个帐户,这些资源可能会使用旧密码重复尝试登录。 此行为将导致帐户被锁定。
- 尝试最大程度地减少跨多个不同应用程序或服务使用同一帐户,并记录使用凭据的位置。 如果更改了帐户密码,请相应地更新关联的应用程序或服务。
- 密码已在不同的环境中更改,并且新密码尚未同步。
- 如果帐户密码在托管域外部(例如在本地 AD DS 环境中)发生更改,则密码更改可能需要几分钟时间才能通过 Microsoft Entra ID 同步并进入托管域。
- 如果有用户在密码同步过程完成之前尝试在托管域登录到资源,其帐户将被锁定。
通过安全审核对帐户锁定进行故障排除
若要排查帐户锁定事件何时发生及其来自何处的问题, 请为域服务启用安全审核。 只有在启用该功能后,才会开始捕获审核事件。 理想情况下,应该先启用安全审核, 然后 才能解决帐户锁定问题。 如果用户帐户反复出现锁定问题,可以在下次发生这种情况时启用安全审核。
启用安全审核后,以下示例查询将演示如何查看 帐户锁定事件(代码 4740)。
查看过去 7 天的所有帐户锁定事件:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
查看名为 Driley 的帐户在过去七天内的所有帐户锁定事件。
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
查看 2020 年 6 月 26 日上午 9 点到 2020 年 7 月 1 日午夜之间的所有帐户锁定事件,按日期和时间升序排序:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc
你可能会发现,在 4776 和 4740 事件上,“源工作站: ”的详细信息为空。 这是因为在通过其他设备进行的网络登录中发生了密码错误。
例如,RADIUS 服务器可以将身份验证转发到域服务。
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: 已从(通过 LOB11-RADIUS)进入 contoso\Nagappan.Veerappan 的传递网络登录
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: 从(通过 LOB11-RADIUS)进行的 contoso\Nagappan.Veerappan 传递网络登录返回 0xC000006A
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: 已从(通过 LOB11-RADIUS)进入 contoso\Nagappan.Veerappan 的传递网络登录
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: 从(通过 LOB11-RADIUS)进行的 contoso\Nagappan.Veerappan 传递网络登录返回 0xC000006A
请允许通过 RDP 连接到 NSG 中的 DC,再连接到后端,以便配置诊断捕获 (netlogon)。 有关要求的详细信息,请参阅 入站安全规则。
如果已修改默认 NSG,请按照 端口 3389 - 使用远程桌面进行管理。
要在任何服务器上启用 Netlogon 日志,请按照为 Netlogon 服务启用调试日志记录进行操作。
后续步骤
有关调整帐户锁定阈值的细化密码策略的详细信息,请参阅 “配置密码和帐户锁定策略”。
如果在将 VM 加入托管域时遇到问题,请获取帮助并提交 Microsoft Entra ID 的支持请求。