Ok, var så formålet med min tidligere forklaring, der ofte replikation kan være for langsom .. Du bliver nødt til beslutte, hvor den lockout opstod ved at kontrollere de dårlige password count..Sometimes, når en konto er låst i USA server, men logfilerne ikke har replikeret endnu, hvis du åbner 'Active Directory-brugere og computere' snap i og se om kontoen er låst ude, kan det sige, at kontoen ikke er låst ude .. Dette skyldes lockout detaljer endnu ikke har replikeret til den lokale domænecontroller ...
Du er nødt til at tjekke, hvilke domænecontroller har de maksimale dårlige password tæller og hurtigt at kontrollere logfilerne for kun at domænecontroller .. Sandsynligvis det er her den konto lockout sker ..
Lad os se på det næste skærmbillede, hvor det viser den manglende audit log, der fandt sted på det tidspunkt, lockout:.
Ovenstående billede viser kilden maskine, hvor de dårlige passwords kommer fra, hvilket er 192.168.131.
66
Der er også en standalone hændelsesloggen forespørgsel funktion som kan bruges til at forespørge ethvert system for alle hændelseslogfiler, der opstod som helst ... Du er nødt til at sørge for, at WMI arbejder gennem nogen firewall, du har i det eksterne system for alle funktionerne i dette værktøj korrekt ..
1) Hvis en konto fik låst automatisk efter en vis periode (som pr politik), men hvis brugeren ikke har logget ind endnu, wil værktøjet stadig rapporterer, at kontoen er låst ude ...
Det er fordi, værktøjet bestemmer, om kontoen er låst ude ved at kontrollere, om der er nogen værdi for attributten "lockouttime" ..
Når du klikker på 'låse konto "i dette tilfælde, vil det simpelthen rydde værdien til stede i' lockouttime« .. (Ellers vil det blive slettet, når brugeren logger ind)
2) Nogle gange, kan du ikke se nogen logfiler for en dårlig adgangskode tid ... Det er fordi, nogle gange hændelsesloggen skrives en sekunder før