Как исследовать блокировки сети Windows, связанные с проверкой подлинности Outlook Exchange Server?

Question

Как исследовать блокировки сети Windows, связанные с проверкой подлинности Outlook Exchange Server?

Я конечный пользователь, а не ИТ-специалист. К сожалению, мои корпоративные ресурсы не могут решить эту проблему. Я ищу несколько советов, чтобы дать им.

В течение последних четырех месяцев я блокировал аккаунт в нашей корпоративной сети в среднем 2-3 раза в день. Я провел дни без проблем и был заблокирован 7 раз за один день. В предыдущие 8 лет меня дважды блокировали.

Для каждой блокировки требуется звонок в нашу корпоративную службу поддержки, чтобы разблокировать мою учетную запись. Блокировки происходят из-за того, что наша система безопасности "думает", что я пытаюсь неоднократно проходить аутентификацию с неверными учетными данными (неверный пароль).

Полная информация о крайне утомительном процессе отладки на сегодняшний день содержится в моем блоге: http://tech.kateva.org/2009/05/debugging-network-account-lockouts.html.

Около недели назад я взломал Outlook 2007, и мои блокировки исчезли. Стоимость была в том, что мне приходилось вручную проверять подлинность (домен / имя пользователя и пароль) в первый раз каждый "день", когда мой клиент Outlook подключался к серверу Exchange. Раздражает, но я мог бы жить с этим.

С тех пор, как я начал этот процесс, мой ноутбук обновился. У меня новое оборудование с неторопливым корпоративным стандартным образом диска, и я вернулся к Outlook 2003. Я также вернулся к блокировке!

Так что я не думаю, что проблема на моем ноутбуке.

В ходе дальнейшего расследования я обнаружил, что если я отправлял Outlook 2003, чтобы всегда запрашивать учетные данные, я НЕ был заблокирован.

Поэтому мне нужно понять, чем отличается процесс аутентификации, когда я

а. Outlook подключается к Exchange и автоматически аутентифицируется (стандартное поведение), используя учетные данные, связанные с моей учетной записью (сетевой домен NTLM /un и pw).

б. Outlook подключается к Exchange, и мне приходится вручную входить в сеть un и pw.

Каким-то образом "б" работает правильно. Тем не менее, я думаю, что в процессе 'a' Exchange Server (наш Outlook?) Отправляет неверные учетные данные в Active Directory, из-за чего меня блокируют.

Я подозреваю неверную конфигурацию моей учетной записи Active Directory и / или моего почтового ящика Exchange Server.

Мне нужно предоставить нашей справочной службе и службе безопасности хороший список вещей, которые они могут исследовать в Active Directory или Exchange Server. Если я не могу этого сделать, мне нужно будет получить новый корпоративный идентификатор и отказаться от моего существующего идентификатора пользователя.

Я думаю, что если я смогу указать им правильное направление и дать им довольно точное руководство, то они смогут решить эту проблему.

Любой совет будет полезен. Возможно, мне просто нужно исследовать, как NTLM (AD) аутентификация работает с запросами Exchange Server.

2

active-directory authentication exchange-2003 ntlm outlook-2003

Источник

13 июн '09 в 03:56

6 ответов

Другие вопросы по тегам active-directory authentication exchange-2003 ntlm outlook-2003

quux 13 июн '09 в 05:19 2009-06-13 05:19 · Answer 1 · 2009-06-13 05:19

У нас были проблемы с блокировкой аккаунта в большой организации, на которую я работал в прошлом.

То, что я сделал (как член IT-организации), заключалось в создании скрипта, который работал на PDC (теперь эмулятор PDC). Всякий раз, когда учетная запись заблокирована, этот контроллер домена регистрирует событие с кодом № 644 (4740 в Windows Server 2008) в журнале безопасности. Событие также включает имя клиентского компьютера, который предпринял последний вход в систему с неверным паролем. Поэтому мой сценарий опрашивал журнал безопасности каждые 5 минут и публиковал эти данные на веб-странице, которая была доступна для службы поддержки.

После того, как у нас это получилось, было тривиально изменить рабочий процесс службы поддержки, чтобы проверять эту страницу всякий раз, когда у него возникала проблема с блокировкой учетной записи, а затем помогать пользователю узнать, что было на той машине, которая вызвала блокировку. Как вы заметили в своей статье в блоге, виновником, как правило, является какая-то вторая машина, на которой пользователь забыл, что он вошел в систему, когда сменил свой пароль со своей основной машины. Обычно на этой второй машине запускается Outlook, или диск сопоставляется через учетные данные пользователя (в настоящее время устарели).

А когда у службы поддержки были затишья в свое время, они могли активно проверять эту веб-страницу и решать проблемы для людей, которые еще не знали, что стали жертвами блокировки учетной записи.

Если есть интерес к этому сценарию, я мог бы выкопать его, вычистить и выложить здесь.

quux 13 июн '09 в 05:33 2009-06-13 05:33 · Answer 2 · 2009-06-13 05:33

Другим ответом, опять же с точки зрения ИТ, было бы переосмысление политики блокировки учетной записи.

Нередки случаи, когда политика блокировки установлена так, что 10 неудачных попыток входа в систему в течение 10 минут приводят к полной блокировке до тех пор, пока администратор не сбросит учетную запись. Мало того, такой низкий лимит делает вас уязвимым для простой атаки типа "отказ в обслуживании" (DoS): BadGuy(TM) нужно использовать только 10 неверных паролей, и теперь он заблокировал учетную запись. Представьте, что это происходит с 500 учетными записями! Я видел это: это не весело. Хуже того, представьте, что это делается для всех ваших учетных записей администратора!

Я утверждаю, что этот предел может быть значительно снижен при минимальном увеличении риска безопасности.

Для взлома пароля Bruteforce, даже если пароль хотя бы минимально сложен, требуются тысячи или миллионы попыток, прежде чем он получит хоть какой-то приличный шанс на успех. Так почему бы не рассмотреть политику паролей, которая позволяет 50 попыток входа в систему за 5 минут, а затем автоматически сбрасывается через 5 минут? При такой скорости (50 попыток каждые 5 минут) большинство сценариев брутфорса просто сдаются, но большинство простых попыток DoS не достигают предела. Те сценарии грубой силы, которые действительно понимают, что учетная запись разблокируется через 5 минут, что позволяет еще 50 попыток, будут ограничены до 7200 попыток в день. Конечно, вы можете ограничить все, что захотите.

27 июн '09 в 14:43 2009-06-27 14:43 · Answer 3 · 2009-06-27 14:43

Я собираюсь ответить на свой вопрос. Я не был заблокирован более недели, даже после того, как снова включил сквозную аутентификацию Outlook, поэтому, несмотря на отсутствие окончательного решения, я могу сообщить, где я оставил вещи.

Напоминаю, что в прошлый раз, когда я был заблокирован, я только что получил новый ноутбук с новым корпоративным имиджем.

Самыми последними двумя вещами, которые я сделал, были:

Я обнаружил, что новый корпоративный имидж включает в себя два сопоставления дисков. Вздох. (Звук удара головой о стену.) Я давно снял их со своего старого ноутбука, но они вернулись. Я удалил их снова. Это была не единственная проблема в корпоративном имидже.
Я экспериментировал с переключением аутентификации Outlook 2003 между "автоматическим" (по умолчанию), только Kerberos (современный) и только NTLM (устаревший). Переход на Kerberos, казалось, только решил проблемы, но я думаю, что это была красная селедка. Переключение обратно на значение по умолчанию не восстановило проблему блокировки.
Я использую Retrospect Professional для Windows для резервного копирования моей рабочей станции на внешний диск. (Корпоративное резервное копирование неплохое, но восстановление занимает около недели.) Это программное обеспечение имеет функцию автозапуска. Я бы настроил автоматический запуск с использованием зарегистрированных учетных данных, а не коварной функции предоставления учетных данных. Интересно, хотя о пересечении подключенных дисков и автозапуска. Я отключил автозапуск Retrospect Pro на данный момент.

Я очень ценю ссылку Neobyte на обновленную страницу Microsoft по устранению неполадок:

http://technet.microsoft.com/en-us/library/cc773155%28WS.10).aspx

У меня остались некоторые психические шрамы. Учитывая поразительное разнообразие проблем, связанных со службами проверки подлинности Microsoft и их унаследованными хакерами, и пересечение с распределенными функциями проверки подлинности и дополнительными функциями безопасности, такими как блокировки проверки подлинности, я теперь глубоко консервативен в отношении использования любой новой или новой корпоративной сети. или "облачные" инициативы. Они должны быть построены на гораздо более надежной инфраструктуре, чем то, что предоставляет Microsoft, и для их реализации требуется как финансирование ИТ, так и реорганизация ИТ.

Neobyte 13 июн '09 в 04:17 2009-06-13 04:17 · Answer 4 · 2009-06-13 04:17

Я предполагаю, что имя пользователя, пароль и домен, которые вы используете для Exchange, идентичны учетным данным, с которыми вы входите на свой компьютер.

Если проблема возникла после переустановки корпоративной SOE, и это происходит только с вами... у вас есть роуминговый профиль, или ваши настройки каким-либо другим образом перенесены в сетевое расположение? Если это так, это объяснит, почему проблема возникла после обновления рабочей станции. В вашем блоге говорится, что вы "восстановили данные" на своем новом SOE. Вы уверены, что не восстановили оскорбительное приложение?

Удалите все плагины, которые вы, возможно, добавили в Outlook 2003, и любые другие нестандартные (например, не те, которые устанавливает ваш ИТ-отдел) настройку, которую вы добавили в новую SOE с момента ее получения.

В большинстве случаев это происходит потому, что кто-то оставил свои старые учетные данные в запланированном задании или в заблокированном сеансе удаленного рабочего стола. Вы можете попытаться использовать комбинацию инструментов Wireshark и Sysinternals, чтобы определить процесс, вызывающий сбой на вашем компьютере, который вызывает блокировки (если предположить, что это ваш компьютер).

ОБНОВИТЬ

Эта ссылка от Microsoft может помочь вам и / или вашей ИТ-команде в решении этой проблемы.

[Устранение неполадок блокировки учетной записи] ( http://technet.microsoft.com/en-us/library/cc773155(WS.10).aspx "Microsoft Technet")

13 июн '09 в 08:08 2009-06-13 08:08 · Answer 5 · 2009-06-13 08:08

Недавно у нас была проблема с многократной блокировкой учетной записи пользователя. Оказалось, что он пытался настроить свою учетную запись электронной почты с помощью клиента IMAP (в данном случае iPhone), и поскольку наша политика паролей требует смены пароля каждые 30 дней, когда он менял свой пароль, но не обновлял его на iPhone, его учетная запись сохранялась. блокировка из-за использования неверного пароля.

Стоит хотя бы проверить.

sysadmin1138 13 июн '09 в 05:55 2009-06-13 05:55 · Answer 6 · 2009-06-13 05:55

Одна вещь, которая раздражает меня, - это проблема с синхронизацией времени на DC и, возможно, на вашей рабочей станции, которая мешает Kerberos. Плохое время может привести к неудачным входам в систему, которые считаются заблокированными. Команда "w32tm" может помочь вам определить, отличается ли время вашей рабочей станции от контроллеров домена или серверов Exchange (или друг от друга). Вам не нужны специальные привилегии для проверки этой команды, я верю.

Я полагаю, что вход в Outlook вручную запускает новый сеанс входа в систему, а не пытается повторно использовать токен, полученный при входе в сеанс рабочего стола. По какой-то причине, это не становится устаревшим, как вход в систему на рабочем столе.

Следующей вещью, которую я искал, были бы подозрительные записи в журнале событий, но я предполагаю, что это уже сделано. К сожалению, я не могу описать, как выглядит "подозрительный". Я бы сравнил обычную сквозную регистрацию в Exchange с вашей неудачной регистрацией и начал бы искать различия, если это не было очевидно.:}