排查 Microsoft Entra 域服务托管域的帐户锁定问题

  • 项目

为防止重复的恶意登录尝试,Microsoft Entra 域服务托管域会在定义的阈值后锁定帐户。 在没有登录攻击事件的情况下,也可能意外发生这种帐户锁定。 例如,如果用户重复输入错误的密码或服务尝试使用旧密码,则帐户将被锁定。

本文概述了为何会发生帐户锁定、如何配置行为,以及如何查看安全审核以对锁定事件进行故障排除。

什么是帐户锁定?

达到为登录尝试失败定义的阈值时,会锁定域服务托管域中的用户帐户。 此帐户锁定行为的设计意图是为了防止反复尝试暴力登录,而反复尝试暴力登录可能表示存在自动化数字攻击。

默认情况下,如果 2 分钟内有 5 次失败的密码尝试,将锁定帐户 30 分钟。

使用细化密码策略配置默认的帐户锁定阈值。 如果你有一组特定的要求,可以替代这些默认的帐户锁定阈值。 但是,建议不要放松阈值限制来尝试减少帐户锁定次数。 首先对帐户锁定行为的来源进行故障排除。

细化密码策略

通过细化密码策略 (FGPP),可以对域中的不同用户应用特定的密码和帐户锁定策略限制。 FGPP 仅影响托管域中的用户。 从 Microsoft Entra ID 同步到托管域的云用户和域用户仅受托管域内的密码策略影响。 其在 Microsoft Entra ID 或本地目录中的帐户不受影响。

通过托管域中的组关联来分发策略,并在下次用户登录时应用你的任何更改。 更改策略不会解除锁定已锁定的用户帐户。

有关细化密码策略的详细信息,以及直接在域服务中创建的用户与从 Microsoft Entra ID 中同步的用户之间的差异,请参阅配置密码和帐户锁定策略

常见帐户锁定原因

在没有任何恶意意图或因素的情况下,锁定帐户的最常见原因包括以下情况:

  • 用户使自己被锁定。
    • 最近密码更改后,用户是否继续使用以前的密码? 用户无意中重试旧密码,可能会触发默认帐户锁定策略:2 分钟内有 5 次失败的尝试即会锁定帐户。
  • 存在具有旧密码的应用程序或服务。
    • 如果应用程序或服务使用某个帐户,这些资源可能会使用旧密码重复尝试登录。 此行为将导致帐户被锁定。
    • 尝试最大程度地减少跨多个不同应用程序或服务使用同一帐户,并记录使用凭据的位置。 如果更改了帐户密码,请相应地更新关联的应用程序或服务。
  • 在其他环境中更改了密码,而新密码尚未同步。
    • 如果在托管域之外(如本地 AD DS 环境中)更改了帐户密码,密码更改可能需要几分钟时间才能同步到 Microsoft Entra ID 和托管域。
    • 如果有用户在密码同步过程完成之前尝试在托管域登录到资源,其帐户将被锁定。

通过安全审核对帐户锁定进行故障排除

若要对帐户锁定事件发生的时间以及这些事件的来源进行故障排除,请为域服务启用安全审核。 仅从启用该功能时开始捕获审核事件。 理想情况下,应在有帐户锁定问题需要进行故障排除之前启用安全审核。 如果用户帐户重复出现锁定问题,可启用安全审核以防下次出现这种情况。

启用安全审核后,可查看以下示例查询,了解如何查看“帐户锁定事件”,代码“4740” 。

查看过去 7 天的所有帐户锁定事件:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

查看名为“driley”的帐户在过去 7 天的所有帐户锁定事件。

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

查看 2020 年 6 月 26 日上午 9 点至 2020 年 6 月 1 日午夜的所有帐户锁定事件,按日期和时间升序排列:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc

你可能会发现,在 4776 和 4740 事件上,“源工作站: ”的详细信息为空。 这是因为通过其他一些设备进行网络登录时发生了密码错误。

例如,RADIUS 服务器可以将身份验证转发到域服务。

03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: 已从(通过 LOB11-RADIUS)进入 contoso\Nagappan.Veerappan 的传递网络登录

03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: 从(通过 LOB11-RADIUS)进行的 contoso\Nagappan.Veerappan 传递网络登录返回 0xC000006A

03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: 已从(通过 LOB11-RADIUS)进入 contoso\Nagappan.Veerappan 的传递网络登录

03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: 从(通过 LOB11-RADIUS)进行的 contoso\Nagappan.Veerappan 传递网络登录返回 0xC000006A

请允许通过 RDP 连接到 NSG 中的 DC,再连接到后端,以便配置诊断捕获(netlogon)。 有关要求的详细信息,请参阅入站安全规则

如果已修改默认 NSG,请按照端口 3389 - 使用远程桌面管理进行操作。

要在任何服务器上启用 Netlogon 日志,请按照为 Netlogon 服务启用调试日志记录进行操作。

后续步骤

有关细化密码策略以调整帐户锁定阈值的详细信息,请参阅配置密码和帐户锁定策略

如果在将 VM 加入托管域时仍有问题,请查找帮助并创建 Microsoft Entra ID 的支持票证