一次有意思的AD账号锁定排错过程
2010-12-29 15:27
288 查看
最近经历了一次非常有意思的排错,虽然经过了两天的时间才找到原因,但是觉得这次排错非常有意思,所以写下来供以后参考,也给大家一个参考。
环境介绍:
在windows 2003的域环境中,有三台DC,另外有Email的服务器,文件服务器,已经数据库服务器等等。
Domain function level为Windows2000 native(还没有升到2003)
Forest function level:windows2000
出现的问题:
在检查日志的过程中发现有12294的报错,报错截图如下:
起初以为只是个别现象,可能是管理员在远程登录时输入错了密码,所以也没有放在心上,但是随后的发现让我有些紧张。当我使用eventcombMT.exe这个工具检测账号时,发现EventID为675的security audit log中有几百条关于管理员账号验证失败的记录。使用的验证失败错误完全一样,如下:
675,AUDIT FAILURE,Security,Tue Dec 28 18:00:27 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
675,AUDIT FAILURE,Security,Tue Dec 28 17:58:52 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
675,AUDIT FAILURE,Security,Tue Dec 28 17:55:22 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
675,AUDIT FAILURE,Security,Tue Dec 28 17:54:37 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
675,AUDIT FAILURE,Security,Tue Dec 28 17:52:15 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
675,AUDIT FAILURE,Security,Tue Dec 28 17:50:52 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
675,AUDIT FAILURE,Security,Tue Dec 28 17:45:14 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
而且日志时间显示几乎每风中都有验证错误的log,而且同时会有多条。
排错过程:
从日志上看,
EventID 675表示是表示登录时Kerberos验证错误
Failure Code:0x18 表示验证信息无效,密码错误
可以参考(http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=675#fields)
像是有人在不断的尝试管理员密码,莫非是有人在攻击?但是从client IP地址上看,都是127.0.0.1,又有可能是本地中了木马。
采取的措施:
1.使用杀毒软件对DC进行full scan,没有发现病毒。
2.根据Account lockout best pratices中介绍的查看本地的服务,盘符映射,计划任务中是否有以这个用户的账号运行,以防止账号密码改了,没有在这些任务中更新,使这些任务依然使用就密码而造成不断的报错。
3. 使用账号锁定检查工具(Netwrix account lockout Examiner(http://www.netwrix.com))对账号和服务器进行检测,也没有发现服务器,计划任务,盘符映射等的问题,只是看到Invalid logon的次数在不断增加。
4. 运行DCdiag和Netdiag,没有发现什么问题,一切正常。在EventID.Net中查找解决方式,发现没有有效地方式。
5.抓包,在本地抓包,并进行分析,没有发现可疑的包,这确保了是在本地发生的。
6.使用Process Explore检查当前的进程是否有可疑进程,发现除了签名是Symanctec的杀毒软件和签名是Microsoft的进程,没有其它的进程。
7. 这下奇怪了,再次使用EventcombMT.exe检查,发现还是用很多EventID为675的报错,而且实时都在发生。
8. 通过开启netlogon logging(执行nltest /dbflag:2080ffff,log存放在Systemroot\Debug\Netlogon.log),发现都是一些这样的记录:
12/28 16:16:32 [LOGON] CN: SamLogon: Network logon of CN\administrator from domain controller name Entered
没有什么有价值的线索。于是关掉了netlogon loging(nltest /dbflag0不关掉会撑爆硬盘的)。
在没有办法的时候,突然无意中发现了一个帖子,上面似乎跟我的状态差不多,说是检查一下DHCP服务器的DNS Dynamic Update Crendital,于是赶快等到DC上打开DHCP服务器,如下图:
点击Credential,果然是设了管理员用户名和密码,将密码修改以后,过半小时,没有再发现EventID为675的报错了,问题解决。
结论:
这次问题主要出在管理员密码修改之后,没有修改DHCP中DNS Dynamic Update Credential的密码,从而导致DHCP在动态想DNS同步PTR记录时使用没有修改密码的credential,所以总是报错。
关于DHCP DNS Dynamic Update的问题,请参考http://technet.microsoft.com/en-us/library/cc787034(WS.10).aspx
几个比较好的链接:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=675#fields
http://www.windowsecurity.com/articles/Kerberos-Authentication-Events.html
http://blog.sina.com.cn/s/blog_4d52cc8b0100mj9x.html
http://net.it168.com/app/2007-07-31/200707311156578.shtml
有用的工具:
Account Lockout tool: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=7af2e69c-91f3-4e63-8629-b999adde0b9e
Netwrix account lockout Examiner:http://www.netwrix.com (这个网站上有很多非常好的工具,有一些是免费的)
DCDiag and Netdiag GUI:http://www.pbbergs.com/windows/downloads.htm
本文出自 “chenzhonghua” 博客,请务必保留此出处http://chenzhonghua.blog.51cto.com/128732/467617
环境介绍:
在windows 2003的域环境中,有三台DC,另外有Email的服务器,文件服务器,已经数据库服务器等等。
Domain function level为Windows2000 native(还没有升到2003)
Forest function level:windows2000
出现的问题:
在检查日志的过程中发现有12294的报错,报错截图如下:
起初以为只是个别现象,可能是管理员在远程登录时输入错了密码,所以也没有放在心上,但是随后的发现让我有些紧张。当我使用eventcombMT.exe这个工具检测账号时,发现EventID为675的security audit log中有几百条关于管理员账号验证失败的记录。使用的验证失败错误完全一样,如下:
675,AUDIT FAILURE,Security,Tue Dec 28 18:00:27 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
675,AUDIT FAILURE,Security,Tue Dec 28 17:58:52 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
675,AUDIT FAILURE,Security,Tue Dec 28 17:55:22 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
675,AUDIT FAILURE,Security,Tue Dec 28 17:54:37 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
675,AUDIT FAILURE,Security,Tue Dec 28 17:52:15 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
675,AUDIT FAILURE,Security,Tue Dec 28 17:50:52 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
675,AUDIT FAILURE,Security,Tue Dec 28 17:45:14 2010,NT AUTHORITY\SYSTEM,Pre-authentication failed: User Name: administrator User ID: %{S-1-5-21-2380125314-1135609519-1071393968-500} Service Name: krbtgt/cn Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: 127.0.0.1
而且日志时间显示几乎每风中都有验证错误的log,而且同时会有多条。
排错过程:
从日志上看,
EventID 675表示是表示登录时Kerberos验证错误
Failure Code:0x18 表示验证信息无效,密码错误
可以参考(http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=675#fields)
像是有人在不断的尝试管理员密码,莫非是有人在攻击?但是从client IP地址上看,都是127.0.0.1,又有可能是本地中了木马。
采取的措施:
1.使用杀毒软件对DC进行full scan,没有发现病毒。
2.根据Account lockout best pratices中介绍的查看本地的服务,盘符映射,计划任务中是否有以这个用户的账号运行,以防止账号密码改了,没有在这些任务中更新,使这些任务依然使用就密码而造成不断的报错。
3. 使用账号锁定检查工具(Netwrix account lockout Examiner(http://www.netwrix.com))对账号和服务器进行检测,也没有发现服务器,计划任务,盘符映射等的问题,只是看到Invalid logon的次数在不断增加。
4. 运行DCdiag和Netdiag,没有发现什么问题,一切正常。在EventID.Net中查找解决方式,发现没有有效地方式。
5.抓包,在本地抓包,并进行分析,没有发现可疑的包,这确保了是在本地发生的。
6.使用Process Explore检查当前的进程是否有可疑进程,发现除了签名是Symanctec的杀毒软件和签名是Microsoft的进程,没有其它的进程。
7. 这下奇怪了,再次使用EventcombMT.exe检查,发现还是用很多EventID为675的报错,而且实时都在发生。
8. 通过开启netlogon logging(执行nltest /dbflag:2080ffff,log存放在Systemroot\Debug\Netlogon.log),发现都是一些这样的记录:
12/28 16:16:32 [LOGON] CN: SamLogon: Network logon of CN\administrator from domain controller name Entered
没有什么有价值的线索。于是关掉了netlogon loging(nltest /dbflag0不关掉会撑爆硬盘的)。
在没有办法的时候,突然无意中发现了一个帖子,上面似乎跟我的状态差不多,说是检查一下DHCP服务器的DNS Dynamic Update Crendital,于是赶快等到DC上打开DHCP服务器,如下图:
点击Credential,果然是设了管理员用户名和密码,将密码修改以后,过半小时,没有再发现EventID为675的报错了,问题解决。
结论:
这次问题主要出在管理员密码修改之后,没有修改DHCP中DNS Dynamic Update Credential的密码,从而导致DHCP在动态想DNS同步PTR记录时使用没有修改密码的credential,所以总是报错。
关于DHCP DNS Dynamic Update的问题,请参考http://technet.microsoft.com/en-us/library/cc787034(WS.10).aspx
几个比较好的链接:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=675#fields
http://www.windowsecurity.com/articles/Kerberos-Authentication-Events.html
http://blog.sina.com.cn/s/blog_4d52cc8b0100mj9x.html
http://net.it168.com/app/2007-07-31/200707311156578.shtml
有用的工具:
Account Lockout tool: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=7af2e69c-91f3-4e63-8629-b999adde0b9e
Netwrix account lockout Examiner:http://www.netwrix.com (这个网站上有很多非常好的工具,有一些是免费的)
DCDiag and Netdiag GUI:http://www.pbbergs.com/windows/downloads.htm
本文出自 “chenzhonghua” 博客,请务必保留此出处http://chenzhonghua.blog.51cto.com/128732/467617
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 记录一次tomcat排错过程 推荐
- Powershell管理系列(四十)PowerShell查询和解锁AD账号(改进后,只发一次邮件)
- 记录一次用命令行排错的过程
- Powershell批量解锁被锁定的AD账号
- AD账号被频繁锁定的解决方案
- 一次简单的排错过程
- mysql存储过程和触发器 --- 一次很有意思的尝试
- AD账号频繁被锁定原因
- AD账号锁定查找锁定来源方法
- AD账号锁定逆向查询
- AD账户锁定排错(已解决) 推荐
- 记一次kibana出现页面账号锁定处理
- 记一次艰辛的vsftpd搭建,排错过程
- AD账号创建日期、最近一次登录时间、最近一次重置密码时间查询
- 谁锁了我的帐号?(AD账号的锁定状态查询)
- 一次端口冲突的排错过程
- hadoop中的一次集群任务执行超时问题查找过程
- 记录一次LinkError排错:
- Http 一次请求过程