- - PR -
Windows Server 2003で使っているログインアカウントがロックアウトされる
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2006-12-23 13:11
Active Directoryドメイン環境にてサーバ、クライアントを利用しています。
現在ADに参加しているあるサーバで、突然理由が分からずロックアウトされる現象が起きています。 そのサーバではMOMやSQL Server 2000を運用しております。 グループポリシーにてロックアウト設定をしていたので、ロックアウト設定を解除して、解除したポリシーが反映されているのも確認してテストしたのですが、それでもロックアウトされてしまいます。 ロックアウトされるのは、そのサーバで通常ログインしているドメイン管理者権限のあるユーザー(Enterprise Admins所属)です。 ちなみにこのユーザーがdboとしてSQL Serverが動いています。 ためしにEtherealをインストールしてパケットを確認してみたのですが、別のファイルサーバより1433ポート(SQL Serverで利用)に向けて多くのパケットが送られてきていました。 このサーバではファイルサーバとして以外にSharePoint Server 2003を動かしています。SPS2003のデータベース保存先はロックアウトされるユーザーのあるサーバです。SPS2003はデータベースに対してアクセスするので、原因として関係ないかもしれませんが、一度SPS2003を機会を見つけて停止して確認してみようと思っています。 以上のことから何でもよいので原因となりそうなことや、確認したらよい点など分かりましたらご教授願います。 サーバは全てWindows Server 2003です。 よろしくお願いします。 |
|
投稿日時: 2006-12-23 16:03
まずやるべきことは security log の確認。
Windows Server 2003 なんですから、default で account 関連の監査が設定されています。 有効になっていなければ、有効にして調査してみてください。 [追記] ついでに lock out に関してはこうゆう意見もあります。 セキュリティ管理 ‐ 2004 年 10 月 パスフレーズ vs. パスワード 第 1 回 (全 3 回) [/追記] [ メッセージ編集済み 編集者: ちゃっぴ 編集日時 2006-12-23 16:15 ] |
|
投稿日時: 2006-12-26 18:20
>ちゃっぴ様
返答ありがとうございます。 セキュリティログですが、ユーザーに対しての監査は有効になっており、「すべてのプロパティへの書き込み」をONにしてあります。 ロックアウトについて下記のログが記録されていました。 ////////////////////////////////////////////////////// オブジェクトの操作: オブジェクトのサーバー: DS 操作の種類: Object Access オブジェクトの種類: user オブジェクトの名前: CN=Lockout_Client,OU=OU3,OU=OU2,OU=OU1,DC=xxx,DC=xxx,DC=xxx,DC=xxx ハンドル ID: - プライマリ ユーザー名: DC_ADMIN_TEST$ プライマリ ドメイン: xxx プライマリ ログオン ID: (0x0,0x3E7) クライアント ユーザー名: administrator クライアント ドメイン: xxx クライアント ログオン ID: (0x0,0x87030) アクセス数: プロパティの書き込み プロパティ: プロパティの書き込み Default property set lockoutTime Account Restrictions userAccountControl user 追加情報1: 追加情報2: アクセス マスク: 0x20 ////////////////////////////////////////////////////// Lockout_Clientというユーザーがロックアウトされるユーザーです。 これを見るとadministratorがロックアウトをしたユーザーだと思います。 このユーザーはADドメインを構成するドメインコントローラのサーバでログインして使っているユーザーです。 OU3というOUにいるユーザーは他にもいますが、ロックアウトされるのはこのLockout_Clientというユーザーだけです。 グループポリシーのロックアウト設定は現在行っていません。 マルウェアの可能性も考えたのですが、マルウェアは見つかっていません。 また、SPPS2003を停止して確認しましたが、停止しても同じ現象が見られたのでこれは問題ないかと思っています。 ロックアウトされる頻度はバラバラです。半日以上ロックアウトされない時もあれば、2時間後にはロックアウトされる時もあります。 以上のことから何か分かりましたらご教授願います。 私の方も色々テストしてみます。 |
|
投稿日時: 2006-12-26 21:18
え〜と。上記のは object access の監査ですよね。
ではなく、"ログオン/ログオフ" で失敗しているものを調べてください。 たぶん、security log がものすごく多いでしょうから、 LogParser とか使ってやるとよいかも。 "ログオン/ログオフ" の失敗している時刻をつかみましょう。 Windows 2000 のログオン/ログオフ操作の追跡 |
|
投稿日時: 2006-12-28 18:58
>ちゃっぴ様
返答ありがとうございます。 あれからログオン/ログオフで失敗しているログを調査すると、ADドメインを構築したドメインコントローラからの通信で失敗しているログがありました。 ロックアウトされた時間からしてこのログで間違いないと思います。 このコンピュータではADとDNSサーバが動いているのですが、上記ログやその前後に出力されたログを見ても特にこれという理由が分からなかったので、一度再起動をしました。 その後は1日以上たちますが、ロックアウトされていません。 ただ、Windows起動時に Kerberos Key Distribution Center サービスの起動に失敗していました。これは以前も起こっていたのでこの問題の原因とは違うかもしれませんが。 Kerberos Key Distribution Center サービスはWindows起動時に失敗したとのメッセージが表示しますが、その後は起動(サービス開始)しています。 ロックアウトされなくはなりましたが(まだ1日ちょっとしか経っていないので何ともいえませんが)、理由不明なのが嫌ですね… とりあえず様子を見てみることにします。 |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。