このサイトを正しく表示するには、最新のブラウザを使用し、Javascriptを有効化してください。

Active Directoryのアカウントロックアウトの原因を特定する方法

リンタロウ

特定のユーザーアカウントが、一日を通してランダムかつ繰り返しロックアウトされる問題に悩まされています。

調査したところ、ユーザーのスマートフォンやワークステーション上で実行されているサービス等に問題はありませんでした。

海外の記事を参考にイベントログの監査を有効にしましたが、不可解な状況です。

PDC (プライマリドメインコントローラー) では、このユーザーのロックアウトイベント (イベントID 4740) が多数見つかるのですが、どのDC上にも対応するはずのログオン失敗イベント (イベントID 4625) が一切記録されていませんでした。

ユーザーのPCではログオン失敗が一回だけ記録されていましたが、ロックアウトの頻度とは一致しません。また、イベント4740の詳細にある「呼び出し元コンピューター名 (Caller Computer Name)」は空白になっています。

何を見落としているのでしょうか。ご協力をお願いいたします。

環境情報:

ドメインコントローラー: Windows Server 2016
クライアントPC: Windows 11
Wi-Fi認証: BYODデバイス向けにADとNPSサーバーを利用しています。

浩司

管理者や法人ユーザー向けの問題は、MicrosoftのQ&Aフォーラムで質問する方が、より的確な回答を得られる可能性が高いです。このコミュニティは主に個人ユーザーを対象としています。https://learn.microsoft.com/ja-jp/answers/questions/

タツオ

メールアプリなど、パスワードの更新が必要なアプリケーションが原因である可能性が高いと思われます。私の管理環境でも、数ヶ月に一度は同様の現象が発生します。

リンタロウ

タツオ

ご指摘の通り、原因はユーザーのスマートフォンでした。本人の「接続できている」という言葉を信じてしまい、遠回りをしてしまいました。

調査の結果、NPSサーバー上で対象ユーザーのログオン失敗イベント (イベントID 4625) を大量に発見しました。Wi-Fi認証がNPSで行われていることを考えれば、当然の結果でした。

ロックアウトイベント (イベントID 4740) はPDCに記録されていました。

どうやらiPhoneは、一度保存されたWi-Fiのパスワードが間違っている場合、ユーザーに通知することなく、バックグラウンドで無期限に認証を試み続ける仕様のようです。

Assistant

Active Directoryのアカウントロックアウト問題は、原因の特定が難しい場合があります。一般的に、イベントログに「呼び出し元コンピューター名」が表示されない場合の一般的な原因と対処法は以下の通りです。

一般的な原因

モバイルデバイスのキャッシュ情報: 最も多い原因です。スマートフォンやタブレットが、古いパスワードをキャッシュしたまま会社のWi-FiやExchangeサーバー (メール) に接続を試み続けます。
Windowsサービス: 特定ユーザーの権限で実行するように設定されているサービスが、パスワード変更後に更新されていない。
タスクスケジューラ: 古い資格情報で設定されたタスクがバックグラウンドで実行されている。
ネットワークドライブの永続的な割り当て: ログオン時に再接続されるネットワークドライブに古いパスワードが保存されている。
切断されたリモートデスクトップセッション: サーバー上に古い資格情報でログインしたままのセッションが残っている。

トラブルシューティングのヒント

今回のケースのように、イベントID 4740のログに「呼び出し元コンピューター名」が記録されていない場合、認証要求がドメインコントローラーから見て直接のコンピューターではなく、プロキシ経由で来ていることを示唆します。NPSサーバー、Radiusサーバー、Exchangeサーバーなどが典型例です。

Microsoftが提供しているAccount Lockout and Management Toolsを利用すると、どのドメインコントローラーがロックアウトを処理しているか、関連イベントを追跡しやすくなります。