共用方式為

針對 Microsoft Entra Domain Services 受控網域的帳戶鎖定問題進行疑難解答

  • 發行項

若要防止重複的惡意登入嘗試,Microsoft Entra Domain Services 受控網域會在定義的閾值之後鎖定帳戶。 此帳戶鎖定也可能因為意外而發生,而不會發生登入攻擊事件。 例如,如果使用者重複輸入錯誤的密碼或服務嘗試使用舊密碼,帳戶就會遭到鎖定。

此疑難解答文章概述帳戶鎖定發生的原因,以及如何設定行為,以及如何檢閱安全性稽核,以針對鎖定事件進行疑難解答。

什麼是帳戶鎖定?

當已達到未成功登入嘗試的已定義閾值時,網域服務受控網域中的用戶帳戶會遭到鎖定。 此帳戶鎖定行為旨在保護您避免重複的暴力密碼破解登入嘗試,這可能表示自動化的數字攻擊。

根據預設,如果2分鐘內有5次錯誤的密碼嘗試,帳戶將會鎖定。 它會在 30 分鐘後自動解除鎖定。

默認帳戶鎖定閾值是使用更細緻的密碼原則來設定。 如果您有一組特定的需求,您可以覆寫這些預設帳戶鎖定閾值。 不過,不建議增加閾值限制,以嘗試減少帳戶鎖定數目。 請先針對帳戶鎖定行為的來源進行疑難解答。

細部密碼原則

更細緻的密碼原則 (FGP) 可讓您將密碼和帳戶鎖定原則的特定限制套用至網域中的不同使用者。 FGPP 只會影響受控網域內的使用者。 從 Microsoft Entra ID 同步至受控網域的雲端使用者和網域使用者,只會受到受控網域內的密碼原則影響。 其帳戶在 Microsoft Entra ID 或內部部署目錄中都不會受到影響。

原則會透過受控網域中的群組關聯來散發,而您所做的任何變更會在下一個使用者登入時套用。 變更原則並不會解除鎖定已鎖定的用戶帳戶。

如需微調密碼原則的詳細資訊,以及直接在 Domain Services 中建立的使用者與從 Microsoft Entra ID 同步處理的使用者之間的差異,請參閱 設定密碼和帳戶鎖定原則

常見的帳戶鎖定原因

帳戶遭到鎖定的最常見原因,不含任何惡意意圖或因素,包括下列案例:

  • 使用者將自己鎖在外面。
    • 在最近的密碼變更之後,使用者是否繼續使用先前的密碼? 2 分鐘內五次失敗嘗試的預設帳戶鎖定原則可能是使用者不小心重試舊密碼所造成。
  • 有具有舊密碼的應用程式或服務。
    • 如果應用程式或服務使用帳戶,這些資源可能會重複嘗試使用舊密碼登入。 此行為會導致帳戶遭到鎖定。
    • 嘗試將帳戶使用降至最低,並記錄使用認證的多個不同應用程式或服務。 如果帳戶密碼已變更,請據以更新相關聯的應用程式或服務。
  • 密碼已在不同的環境中變更,而且新的密碼尚未同步處理。
    • 如果帳戶密碼在受控網域外部變更,例如在內部部署AD DS環境中,密碼變更可能需要幾分鐘的時間,才能透過 Microsoft Entra ID 和受控網域進行同步處理。
    • 嘗試在該密碼同步處理程式完成之前登入受控網域中的資源的使用者,會導致其帳戶遭到鎖定。

使用安全性稽核排除帳戶鎖定問題

若要排除帳戶鎖定事件發生的原因及其來源,為網域服務啟用安全性稽核。 稽核事件只會在您啟用此功能時擷取。 在理想情況下,您應該在出現帳戶鎖定問題之前先啟用安全性稽核 ,以便 進行疑難解答。 如果使用者帳戶重複發生鎖定問題,您可以在下次發生情況時啟用安全性稽核準備。

啟用安全性稽核之後,下列範例查詢會示範如何檢閱 帳戶鎖定事件、程式代碼 4740

檢視過去七天的所有帳戶鎖定事件:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

針對名為 driley的帳戶,檢視過去七天的所有帳戶鎖定的事件。

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

檢視 2020 年 6 月 26 日上午 9 點到 2020 年 7 月 1 日午夜期間的所有帳戶鎖定事件,依日期和時間遞增排序:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc

您可以在 4776 和 4740 事件詳細數據中找到「來源工作站:」空白。 這是因為透過其他裝置網路登入時發生了錯誤的密碼。

例如,RADIUS 伺服器可以將驗證轉送至 Domain Services。

03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Contoso\Nagappan.Veerappan 的可轉移網络登入,來自 (透過 LOB11-RADIUS) 輸入

03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: contoso\Nagappan.Veerappan 的可轉移網络登入從 (透過 LOB11-RADIUS) 傳回0xC000006A

03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: contoso\Nagappan.Veerappan 的可轉移網络登入,來自 (透過 LOB11-RADIUS) 輸入

03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: contoso\Nagappan.Veerappan 的可轉移網络登入從 (透過 LOB11-RADIUS) 傳回0xC000006A

在 NSG 中啟用連接到後端 DC 的 RDP,以配置診斷擷取功能(netlogon)。 如需需求的詳細資訊,請參閱 輸入安全性規則。

如果您已經修改預設 NSG,請遵循 埠 3389 - 使用遠端桌面管理

若要在任何伺服器上啟用 Netlogon 登入,請遵循 啟用 Netlogon 服務的偵錯記錄

後續步驟

如需微調密碼原則以調整帳戶鎖定閾值的詳細資訊,請參閱 設定密碼和帳戶鎖定原則

如果您仍然無法將 VM 加入受控網域,尋找說明,並針對 Microsoft Entra ID開啟支援票證。