旺財的 Blog

最近應該有許多公司已經安裝了 Windows 2008, 而很多使用者應該也陸續升級成 Windows 7/Vista, 通常在這種環境下都混合著 Windows 2003 與 Windows 2008 的網域控制站.
這種環境下, 常常會有使用者的帳號莫名其妙的被鎖住, 為了確認這類型的問題您可以先至微軟下載 Account Lockout Tools and Management.

這個工具可以協助您找出為何帳號被鎖的原因, 以下步驟告訴您如何使用 ALTools:

1. 執行 LockoutStatus.exe.
2. 點選主選單 [File]-->[Select Target], 填入欲查詢的使用者 Windows 帳號及網域, 若您的帳號已具備管理 AD 帳號的權限在 [Use Alternate Credentials] 則不需要勾選, 點一下[OK]即可開始查詢.
  
3. 在查詢結果的視窗內, 主要檢視 Orig Lock 這一欄 (請記得, 在尚未找到 Lock source 之前請不要將帳號解鎖), 此欄可以讓您知道使用者的帳號在哪一個 DC 被鎖定了.
4. 找到特定的 DC 後, 請登入到此 DC, 並檢視 Security log, 就可以找到帳號被鎖的原因.

在我們找出帳號被鎖的原因後, 若您的環境如上所陳述, 使用混合型的環境 (Windows 2003/Windows 2008 DC, Windows XP/Windows 7/Windows Vista client), 可能您會發現事件 ID 675, 錯誤碼 0x19, 這啥鬼, 怎麼都沒見過這種事件, 使用者也不曾打入錯誤的密碼, 怎麼無緣無故被鎖了??

如果您遇到此類事件, 您可以在使用者的電腦上加入以下的 registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Name: DefaultEncryptionType
Type: REG_DWORD
Value: 23 (dec)/0x17 (hex)

重新開機後, 就應該可以解決使用者無預警被鎖的問題了, 此問題造成的原因在於  Windows Vista 以後的版本支援 AES 128/256 Kerberos 認證, 但若您是混合型的環境若客戶端向舊有的 Windows 2003進行認證, 舊會出現此類問題.

希望這篇文章對大家有幫助喔~~