域账号多次被锁,看起来是有人在狂试我的账号似的,解决办法记录一下。
在ad控制器里,安全日志里做如下查找:
事件id:644
意思是Lockout事件。
内容:输入要搜索的账户名。不必输入域名。
查到到日志之后,看看内容里的来源工作站名。
去那个工作站上,查查有没有用此账户运行的定时任务、服务啥的。如果从前有,后来你改了口令,这些任务就不能运行了,可能会一遍遍用旧口令启动,最后达到次数上限锁定你的账号。
如果没有明显的此类任务,查查是不是有一种叫Downadup的病毒。这个病毒会利用rdp的一个安全漏洞感染机器,如果你改了用户口令,这个病毒会重试你的账号直到lockout.
从symantec网站上可以找到专杀工具。
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/D.exe
杀完病毒之后,可以按工具的提示去查看ms08-67安全公告,并下载补丁KB958644修复漏洞。
这个漏洞到从windows 2000 到 windows7 beta版和windows 2008 server为止都存在。在windows7 和windows 2008 Server r2开始不存在了。
http://technet.microsoft.com/zh-CN/security/bulletin/ms08-067
要检查系统中有没有已经安装对应的补丁,可以检查KB958644是否安装。