AcitiveDirectory環境でWindowsのPCがロックされまくる原因

苦労話

会社PCはドメインに参加してるんですが、パスワードを数回間違えるとロックがかかるGPOが適用されています

そんな環境である日突然、PCが勝手にロックされるようになってました
勝手にロックって言う表現もおかしいですが、原因がわからない

 

仕事でパソコンを使うのは当たり前
そして、パソコンで仕事している環境では、その人数が多ければ多いほどActiveDirectoryで管理しているところは多くなってきます

結構この問題にぶち当たる人いると思うので、一つ切り分けとして参考になったら幸いです

【現象】

社内環境にてWindowsにログインする際にパスワードを間違ってるわけではないのに
すでにアカウントロックされて、ログインできない

なお、ロック解除は社内SEに頼むしか方法がない

【環境】

どこにでもあるActiveDirectory(以下、AD)環境
PCはWindows10、ユーザ数は1000人程度

ADの詳細環境やそのサーバのOSバージョン等は割愛
結果論だけど、それはあまり関係ないので

【メッセージの内容】

PCにログイン試行時にアカウントロックされているときに出るメッセージ

RDPでログイン試行時にアカウントロックされているときに出るメッセージ

【切り分け】

1.AD上でロックを解除
「Active Directoryユーザーとコンピュータ」を開き、適切なOU(この場合ユーザアカウントが入っているOU)を右クリック → 検索をしてロックを解除したいユーザーのプロパティを表示して[アカウント]タブを開き
「アカウントのロックを解除する」をクリック

→解除すると確かにロックは解除されるものの、その後、時間はまちまちだが再度ロックされる

2.一旦考える
嫌がらせ(笑)を受けてて、誰かが自分のパスワードを意図的に間違えてるのではないか?
→ロック頻度(10分に一回ぐらい)が高いときもあるので、それはない
ロック解除したのを見計らって嫌がらせしてくる?
→そんなわけあるかーい、暇人かーい

じゃあ、タスクスケジューラに登録されている嫌がらせ?
→その可能性もあるけど「自分すんごい嫌われてるじゃん何その手の込んだ嫌がらせ?」と思い、それはないと判断

3.ログ確認(ADのイベントビューアーでセキュリティログを確認)
イベントビューワーを右クリックして「現在のログをフィルター」をクリック

イベントID 4771でフィルタされる
4771はサーバとクライアント間のネットワーク認証方式の一つケルベロス認証と呼ばれるものです
ADの認証はこのケルベロス認証を使っています

→どうも地端末から認証失敗はあるよう
そしてその端末は自分が使っているもの

(考察)
可能性としては、定期的にアカウントのパスワード変更するんだけど、そのタイミングでアカウントロックが発生しているのか?
確かに自分のアカウントを利用して動くアプリケーションはあるよな・・・それでパスワード変更が反映されていないのであれば、確かに定期的に通信することで、認証失敗を繰り返すのでロックしてしまう
よし、それを確認してみよう!
ちなみに、4771で出ない場合は「4625(アカウントのログオンに失敗した)」で探してみるのも有効です

4.対象の端末の「資格情報マネージャー」から認証情報を削除する
→事象変わらず
実際にこの資格情報マネージャに間違ったパスワードや古いパスワードがそのまま登録してあると
自動アクセスするようなアプリだと、勝手に認証チャレンジ失敗してしまいロックがかかる

5.タスクスケジューラは作成者ではなく、タスクの実行時に使うユーザーアカウントを調べる
→対象アカウントでタスクは実行していない
念のため、タスクスケジューラのログも確認したが、失敗しているものもない

6.ブラウザの設定などで、対象のアカウントが登録されていないか確認
→Internet Explorer、Google Chrome、FireFoxは該当なし
Edgeだけあった

でも、ここって関係ない気がするけど、切り分けのため、削除(サインアウト)
→事象変わらず

7.複数アカウント持っているので、各アカウントで対象アカウントが使われていないか確認
例:
ロックされた対象アカウント:hogehoge
自分が他で持っているアカウント:hoge1、hoge2
この場合、hoge1、hoge2にログイン後、hogehogeのアカウントでアプリなどを認証してないか確認
よって、他アカウントにログインして、繰り返し以下を確認する

・資格情報マネージャー
・タスクスケジューラー
・ブラウザ設定

→事象改善したようで、ロックされなくなった

 

【結論】
ひとつずつ切り分けをしなくて、一気にやってしまったので、直接の原因はわからない
まぁ、自分のアカウントだからいっか・・・って感じ(笑)

でも、ポイントとしては3つ

・タスクの実行時に使うユーザーアカウントを調べる
・資格情報
・複数アカウントを使用している場合はそれぞれのアカウントで上記2つを考慮する

多分、直接の原因ではないとしても、ブラウザ設定(アカウントとの紐づけ)も一応チェック

あとは自分がログインしたことがある端末もすべてチェックですかね
身に覚えがある対象端末であれば、手探りで確認できますけど、対象の端末数が多いのであれば
ADのログを調べるてから、あたりをつけるのが一番早いですね
その際、ADの認証情報関連のログは多いので流れるの早い場合もあります
そういったときは、人の少ない休日にリアルタイムで調べるのはありかもしれませんね

タイトルとURLをコピーしました