先下载微软官方的工具 - altools:
http://www.microsoft.com/en-us/download/details.aspx?id=18465
1,当帐号被锁时,用Lockoutstatus.exe工具来判断当时的登录服务器。
帐号被锁的那个相关DC会列出在Orig Lock这一列。
2,用eventcombMT.exe把有关Account Lockout的事件保存下来
1)填上Domain名称
2)选择DC
3)从菜单中选Searches-->Built In Searches --> Account Lockouts,这会自动给你在下面填上event id: 529, 644, 675, 676 和681
4)点Search
在output目录里面会生成一系列文本文件。
3,用Findstr.exe来搜索过滤这个文本文件。
Findstr.exe是windows安装好就自带的一个命令行工具
进入命令行工具后键入findstr /i user dc01-security_log.ext > .\user.txt
这样过滤后的有关该user的帐号被锁信息就被保存在了user.txt中
4,打开user.txt,查找644那行,看是在哪台电脑导致的account lockout
如果还是无法找到源头,就需要先确认用户登录时提供验证的GC是哪台服务器,然后在这个服务器上开启netlogon的debug日志,用于进一步分析。
关于如何开启netlogon日志,请点击此处。
本站文章内容、图片、软件、资源链接等,如无特殊说明均来自互联网公布的信息,软件类资源安全性请自行甄别,本站尚无法且无能力对互联网上资源的安全性负责。本站不接受任何商业赞助和推广,过去,现在,未来都是。
如您发现侵权内容,欢迎友好的反馈,站长必在24小时内妥善处理。站长邮箱:postmaster@cloud700.com
如您发现侵权内容,欢迎友好的反馈,站长必在24小时内妥善处理。站长邮箱:postmaster@cloud700.com