Типичные ошибки в журнале событий
0xc000006a – Неверная попытка входа в систему была сделана следующим пользователем.
0xc0000234 – учетная запись пользователя была автоматически заблокирована, потому что было запрошено слишком много недопустимых попыток входа в систему или попыток смены пароля.
чтобы найти причину блокировки нужно зайти на домен контроллер.
скачать пакет утилит (можно найти на сайте MS называется ALTools) и устанавливаем на домен контроллер
из установленной папки запускаем утилиту LockoutStatus, выбираем File->Select Target
Target User Name – имя заблокированного пользователя
Target Domain Name – домен
галочку можно не ставить
нажимаем ОК
далее запускаем c админскими правами CMD и для включения расширенного лога вводим команду
nltest /dbflag:0x2080ffff
по окончанию работ не забудьте ввести команду
nltest /dbflag:0x0
далее возвращаемся к LockoutStatus нажимаем правой кнопкой мыши на пользователе и выбираем unlock Account. аккаунт пользователя разблокирован.
ждем когда поле Bad Pwd Count изменится с 0 на другое число, запоминаем время последнего неправильно введенного пароля( столбец Last Bad Pwd) переходим в папку файлом и открваем его C:\Windows\debug\netlogon.log или (%windir%\debug\)
далее анализируем логи. В поиске вводим время последнего неправильно введенного пароля и нам выдает примерно вот такой результат:
07/12 12:09:48 [LOGON] [4808] Домен: SamLogon: Transitive Network logon of (null)\имя пользователя from имя почтового сервера (via имя почтового сервера) Entered
07/12 12:09:48 [LOGON] [4808] Домен: SamLogon: Transitive Network logon of (null)\имя пользователя from имя почтового сервера (via имя почтового сервера) Returns 0xC000006A
В данном случае была атака на нашу организацию, подбирался пароль. с помощью wireshark был вычислен ip и заблокирован.