Dies scheint das umgekehrte Problem zu sein, verglichen mit den meisten Dingen, die ich im Internet gefunden habe.
Ich sehe eine große Anzahl von 4771 generierten Kerberos-Vorauthentifizierungsfehlerereignissen und der Fehlercode ist 0x18.
Dies sagt mir, dass es sich um ein falsches Passwort handelt. Ich überprüfe das Benutzerkonto und es ist nicht gesperrt, obwohl es den Schwellenwert zum Auslösen des GPO für die Kontosperrung erreichen sollte. Ich führe das AD-Sperrtool aus und stelle fest, dass AD das Konto mit einer Anzahl falscher Passwörter von 0 auflistet und das letzte falsche Passwort vor 2 Tagen liegt. Mir fällt auf, dass es in unserer Umgebung etwa 4740 Ereignisse gibt, also protokollieren wir die Ereignisse.
Ideen, warum Konten 4771 Kerberos-Vorauthentifizierungsfehlerereignisse generieren, aber nicht gesperrt werden oder mit dem AD-Sperrtool als falsches Kennwort registriert werden?
Event Code = 4771 && Error Code = 0x18
Count = 487 in the previous 10 minutes
Event Code = 4740
Count = 0
GPO:
Enforcement Password History = 5 passwords
Account Lockout Threshold = 5 invalid logon attempts