Ok, så hensikten med mitt forrige forklaring var at ofte replikering kan være for treg ..
Du er nødt til å bestemme hvor lockout skjedde ved å sjekke de dårlige passord count..Sometimes, når en konto er låst i USA server, men stokkene har ikke kopiert ennå, hvis du åpner 'Active Directory Users and Computers' snap inn og sjekke om kontoen er sperret, kan det si at kontoen ikke er låst ute .. Dette er fordi lockout detaljene ikke er replikert til den lokale domenekontroller ennå ... Du må sjekke hvilken domenekontroller har maksimal dårlige passord teller og raskt sjekke loggene for bare at domenekontrolleren .. Mest sannsynlig det er der kontoen lockout som skjer ..
La oss se på neste skjermbilde der det viser svikt revisjonslogg som skjedde på det tidspunktet lockout.
Bildet over viser kilden maskin hvor dårlige ordene kommer fra, som er 192.168.131.66
Det er også en frittstående hendelseslogg spørringsfunksjonen som kan brukes til å spørre ethvert system for alle hendelsesloggene som har oppstått når som helst ... Du må sørge for at WMI jobber gjennom noen brannmur som du har i den eksterne systemet for alle funksjonene i dette verktøyet korrekt ..
1) Hvis en konto ble låst opp automatisk etter en viss periode (som per politikken), men hvis brukeren har ikke logget inn enda, wil verktøyet fortsatt rapportere at kontoen er låst ute ... Det er fordi, bestemmer verktøy dersom kontoen er låst ut ved å sjekke om det er noen verdi for attributtet, "lockouttime" .. Anmeldelser
Når du klikker "låse opp kontoen" i dette tilfellet, vil det rett og slett fjerne verdien til stede i 'lockouttime' ..
(Ellers vil det bli slettet når brukeren logger inn)
2) Noen ganger, du kan ikke se noen logger for et dårlig passord tid ... Dette er fordi noen ganger hendelsesloggen er skrevet ett sekund før lockout tid /dårlig passord tid vist ... Du kan bruke hendelsesloggen spørring for å sjekke om noen loggene har oppstått ett sekund før .. For eksempel, hvi