Вопрос или проблема
У меня есть пользователь в моей среде, который постоянно блокируется. Мне удалось отследить источник блокировок и выяснить, что причиной является процесс на сервере, расположенном по адресу C:\Windows\System32\inetsrv\w3wp.exe
. Насколько я понимаю, это процесс рабочего процесса IIS.
Событие, связанное с этим, следующее:
Имя журнала: Безопасность
Источник: Microsoft-Windows-Security-Auditing
Дата: 13/07/2016 13:52:26
Идентификатор события: 4625
Категория задачи: Блокировка учетной записи
Уровень: Информация
Ключевые слова: Ошибка аудита
Пользователь: Н/Д
Компьютер: testpc.lab.com
Описание:
Попытка входа в систему не удалась.
Субъект:
Идентификатор безопасности: NETWORK SERVICE
Имя учетной записи: testpc$
Домейн учетной записи: test.com
Идентификатор входа: 0x3e4
Тип входа: 8
Учетная запись, для которой вход в систему не удался:
Идентификатор безопасности: NULL SID
Имя учетной записи: testuser01
Домейн учетной записи: test.com
Информация о сбое:
Причина сбоя: Учетная запись заблокирована.
Статус: 0xc0000234
Подстатус: 0x0
Информация о процессе:
Идентификатор вызывающего процесса: 0x4e8
Имя вызывающего процесса: C:\Windows\System32\inetsrv\w3wp.exe
Информация о сети:
Имя рабочей станции: testpc
Исходный сетевой адрес: -
Исходный порт: -
Подробная информация об аутентификации:
Процесс входа: Advapi
Пакет аутентификации: Negotiate
Пройденные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Как я могу остановить этот рабочий процесс, чтобы не блокировать учетную запись пользователя? Есть ли другой способ, кроме как воссоздать профиль Windows?
Вы должны иметь возможность изменить учетную запись пользователя, используемую рабочим процессом, как описано в статье Идентичности пулов приложений на iis.net
…
- Откройте консоль управления IIS (INETMGR.MSC).
- Откройте узел Пулы приложений под узлом машины.
- Выберите пул приложений, который вы хотите изменить для запуска под
автоматически сгенерированной идентичностью пула приложений.- Щелкните правой кнопкой мыши на пул приложений и выберите Расширенные настройки…
- Выберите элемент списка Идентичность
- Выберите кнопку Встроенная учетная запись, а затем выберите тип идентичности ApplicationPoolIdentity из выпадающего списка.
…
Является ли рассматриваемый сервер сервером Exchange? Это мог бы быть кто-то, проверяющий свою электронную почту, или плохой пароль, хранящийся в почтовом приложении на мобильном телефоне, я бы подумал.
Ответ или решение
Проблема блокировки учетной записи пользователя может вызвать значительные неудобства для работы в вашей организации. В вашем случае, вы уже успешно выявили, что причиной блокировок является процесс IIS, работающий под именем w3wp.exe
, расположенный по пути C:\Windows\System32\inetsrv\
. Ниже приведены рекомендации по устранению данной проблемы.
1. Анализ и понимание ситуации
Анализ события, которое вы привели, выявил, что учетная запись testuser01
блокируется в результате неудачных попыток входа. В поле "Failure Information" указано, что учетная запись была заблокирована по причине ошибки статуса 0xc0000234
. Это означает, что учетная запись действительно заблокирована, и найденный процесс w3wp.exe
пытается аутентифицироваться с использованием неверных учетных данных.
2. Изменение конфигурации пула приложений
Первым шагом к разрешению проблемы должно быть изменение идентификации пула приложений, чтобы избежать использования учетной записи, которая вызывает блокировку. Вот пошаговая инструкция по изменению идентификатора пула приложений:
- Откройте консоль IIS (INETMGR.MSC).
- Перейдите в узел ‘Пулы приложений’ под узлом вашего компьютера.
- Выберите пул приложений, который хотите изменить.
- Щелкните правой кнопкой мыши на пуле приложений и выберите ‘Дополнительные настройки…’.
- Выберите пункт ‘Идентификатор’.
- Выберите опцию ‘Встроенная учетная запись’ и установите идентификатор
ApplicationPoolIdentity
из выпадающего списка.
Это действие позволит вашему приложению работать под учетной записью пула приложений, а не под учетной записью пользователя, что должно устранить проблему блокировок.
3. Поиск источника неправильных учетных данных
Если блокировка происходит из-за неправильных учетных данных, используемых в каком-либо приложении, важно провести дополнительный анализ для выявления источника. Например, это может быть:
- Клиентское приложение, пытающееся аутентифицироваться с помощью старых или неправильных учетных данных (например, мобильные приложения для проверки почты).
- Службы, такие как Exchange, которые могут пытаться выполнить аутентификацию от имени пользователя.
Рекомендуется провести следующие действия:
- Проверьте логины приложений: Убедитесь, что все службы и приложения используют правильные учетные данные.
- Мониторинг входа пользователей: Используйте журнал событий для обнаружения любых подозрительных попыток входа и устранения ошибок.
- Обновление пароля: Если учетные данные старые или неверные, обновите их в соответствующих местах (например, в мобильных приложениях).
4. Альтернативные подходы
Если изменение идентификации пула приложений не устраняет проблему, могут быть альтернативные способы решения:
- Пересоздание профиля Windows: Хотя это не самое предпочтительное решение, если другие способы не приводят к успеху, возможно, потребуется пересоздать профиль пользователя.
- Групповая политика: Обратите внимание на настройки групповой политики, которые могут влиять на поведение учетных записей.
Заключение
Блокировка учетной записи пользователя — это серьезная проблема, которую необходимо решать, чтобы обеспечить бесперебойную работу учетной записи. Применяя приведенные выше рекомендации, вы сможете устранить источник блокировок и предотвратить повторное возникновение данной проблемы. Если после выполнения всех шагов проблема сохраняется, рассмотрите возможность обращения к специалистам по ИТ для более углубленного анализа и консультаций.