ManageEngine x Forrester | Workforce Identity Platforms Landscape Report

Read now
Active Directoryの基礎

ADアカウントのロックアウト問題を解決する方法

7月 19, 2022

アクティブディレクトリでアカウントが頻繁にロックアウトされる理由にイライラしたことはありませんか?もしADアカウントがロックアウトされ続けるなら、あなたは正しい場所に来ています。

アカウントのロックアウトは、Active Directory(AD)ユーザーが最も多く経験する大きな問題です。また、ITサポートへの問い合わせの中でも最も多いものです。ユーザーがログイン情報を忘れることが原因であることもありますが、新しい資格情報が更新されていないシステムを使用することが、ADアカウントのロックアウトの主要な理由です。ADアカウントがロックアウトされるいくつかの理由を見てみましょう。

ADアカウントのロックアウトの理由

1. 資格情報が更新されていない

ユーザーは複数のデバイスを通じて1つのアカウントにログインしているかもしれませんが、パスワードは1つのデバイスでのみ変更されているかもしれません。このシナリオでは、アカウントがログインされているすべてのデバイスで資格情報を手動で更新する必要があります。そうしなければ、ADアカウントがロックアウトされます。

2. キャッシュされた資格情報または古い資格情報

ユーザーが同時に複数のデバイスにログオンしている場合、いくつかのデバイスのキャッシュは、古い資格情報を使用してアクセスを検証および許可することがあります。これもまた、アカウントのロックアウトにつながる可能性があります。

3. キャッシュされた資格情報を使用するWindowsサービス

Windowsサービスは、特定のADユーザーアカウントを使用するように設定されていることがあります。パスワードが変更された後に資格情報が更新されない場合、Windowsサービスは古い資格情報を使用し続け、ADアカウントのロックアウトにつながります。

4. 古い資格情報を持つスケジュールされたタスク

資格情報が変更される前にスケジュールされたADアカウントのタスクがある場合、アカウントがロックアウトされることがあります。スケジュールされたタスクは、新しい資格情報に更新されない限り、古い資格情報で進行しようとします。

5. パスワード試行の閾値を高く設定する

間違った資格情報を誤って入力することは、ADアカウントのロックアウトのもう一つの主要な原因です。アカウントがロックされる前に最低10回の試行が必要であり、ブルートフォースアタックによる攻撃者が10回の試行内に正しいパスワードを得る可能性は非常に低いです。

Microsoftツールを使用したADアカウントロックアウトの解決方法:

MicrosoftにはMicrosoft Account Lockoutというツールがあり、アカウントのロックアウトがよく発生するため、ロックアウトの診断や解決に役立ちます。以下の手順に従って、ADアカウントロックアウトを解決してください:

  1. ツールをインストールします。
  2. インストールディレクトリに移動し、LockoutStatus.exeファイルを実行します。
  3. 「ファイル」メニューを開き、ロックアウトされたアカウントの詳細情報を確認するためのターゲットを選択します。
  4. 提示されたデータの中で、失敗したログイン試行の数が最も多いドメインコントローラ(DC)が、ユーザー認証を担当した可能性が高いです。
  5. そのDCのセキュリティログには、アカウントロックアウトを引き起こしたエラーに対応するコードが表示されます。
  6. これらの手順とDCを通じて、クライアントとそのID番号を特定することができます。
  7. 認証に失敗したDCおよび該当するクライアントサーバーを特定し訪問し、アカウントのロックを解除し修正するための必要な措置を講じてください。

頻繁なADロックアウトを防止する方法:

  1. 期限切れのクレデンシャルについて、アプリケーション、Windowsサービス、プロセス、およびデバイスを監視します。
  2. 複数のアカウントロックアウトが発生した場合、デバイスのすべてのイベントログを処理して、サイバー攻撃が進行中であるかどうかを特定する必要があります。無効なクレデンシャルに関するイベントIDは4740です。間違ったパスワードを入力した場合のKerberosイベントIDは24、期限切れのパスワードを使用してログインしようとした場合は23です。
  3. 最新のアップデートをDCとクライアント側のサーバーの両方に適用することが重要です。

Microsoft Account LockoutはADアカウントのロックアウトに最も広く使用されているツールですが、いくつかの欠点があり、主なものは、システムがWindows Server 2003以前で動作している場合にのみ、アカウントロックアウトの理由を見つけることができる点です。Microsoft Account Lockoutは間違ったパスワードを送信するアプリケーションを追跡しますが、Exchangeストアの開始を妨げる可能性があり、多くの場合で使用できません。ManageEngine AD AuditPlusを使用すると、リアルタイムアラートでADアカウントロックアウトをより迅速に検出し、認証失敗の原因を特定することでロックアウトのトラブルシューティングを効果的に行うことができます。

Related posts
Active Directoryの基礎トップ記事

アクティブディレクトリフォレスト機能レベルを上げる方法

5月 29, 2024
Active Directoryの基礎

Windowsサーバーの稼働時間を素早くかつ簡単にチェックする方法

3月 22, 2023
Active Directoryの基礎最近の投稿

ドメインコントローラーのIPアドレスを変更する方法

1月 19, 2023
Active Directoryの基礎

FSMO ロールを取得する方法

8月 3, 2022
×

There are over 8,500 people who are getting towards perfection in Active Directory, IT Management & Cyber security through our insights from Identitude.

Wanna be a part of our bimonthly curation of IAM knowledge?

  • -Select-
  • By clicking 'Become an insider', you agree to processing of personal data according to the Privacy Policy.