Contact
Line : comsiam
ปัญหา User ถูก Lock บ่อย เป็นหนึ่งในปัญหาที่ผู้ดูแลระบบ Active Directory พบเป็นประจำ โดยเฉพาะในองค์กรที่มีการใช้งาน Domain จำนวนมาก ผู้ใช้มักโทรมาแจ้งว่า “ใส่รหัสถูกแต่เข้าไม่ได้” หรือ “เพิ่งปลดล็อกไปเมื่อกี้ก็ถูกล็อกอีกแล้ว”
แม้ว่าการปลดล็อกบัญชีจะใช้เวลาเพียงไม่กี่วินาที แต่หากไม่แก้ที่ต้นเหตุ ปัญหาจะเกิดซ้ำไม่รู้จบ และส่งผลต่อประสิทธิภาพการทำงานของทั้งผู้ใช้และทีม IT
บทความนี้จะช่วยให้คุณวิเคราะห์สาเหตุและแก้ปัญหา User ถูก Lock ซ้ำ ๆ บน Windows Server 2025 อย่างเป็นระบบ
① อาการที่พบบ่อย
ผู้ใช้มักพบข้อความ
The referenced account is currently locked out.
หรือ
Your account has been locked out.
อาการที่พบร่วมกัน
- Login ไม่ได้
- Outlook ขอรหัสผ่านซ้ำ
- VPN ใช้งานไม่ได้
- Wi-Fi Authentication ล้มเหลว
- ถูก Lock ซ้ำหลังปลดล็อกไม่นาน
② ทำความเข้าใจ Account Lockout
Account Lockout เป็นฟีเจอร์ด้านความปลอดภัย
ที่ช่วยป้องกัน
- Brute Force Attack
- Password Guessing
- Unauthorized Access
เมื่อผู้ใช้ใส่รหัสผิดเกินจำนวนครั้งที่กำหนด
ระบบจะล็อกบัญชีชั่วคราว
③ ตรวจสอบ Account Lockout Policy
เปิด
Group Policy Management
ตรวจสอบ
Account Lockout Policy
ค่าที่สำคัญ
- Account Lockout Threshold
- Lockout Duration
- Reset Account Lockout Counter
ควรตรวจสอบก่อนว่าระบบถูกตั้งค่าไว้อย่างไร
④ ตรวจสอบ Event Viewer
บน Domain Controller
เปิด
Event Viewer
Windows Logs
Security
ค้นหา
Event ID
4740
Event นี้จะแสดงว่า
- ใครถูกล็อก
- ถูกล็อกจากเครื่องใด
- เวลาใด
ถือเป็นข้อมูลสำคัญที่สุดในการวิเคราะห์
⑤ หาเครื่องต้นเหตุ
จาก Event 4740
ดูค่า
Caller Computer Name
เครื่องนี้มักเป็นต้นเหตุที่ส่งรหัสผ่านผิดเข้ามา
ควรเริ่มตรวจสอบจากจุดนี้ก่อน
⑥ ตรวจสอบ Saved Password
สาเหตุยอดนิยมคือ
รหัสผ่านเก่าถูกบันทึกไว้ในเครื่อง
ตรวจสอบ
- Credential Manager
- Outlook
- Mapped Drive
- VPN Client
- Wi-Fi Profile
ข้อมูลเก่าเหล่านี้มักส่งรหัสผิดเข้าหา Domain Controller
⑦ ตรวจสอบบริการ Windows Service
บาง Service ทำงานด้วย Domain Account
หากเปลี่ยนรหัสผ่านแล้วไม่ได้อัปเดต Service
Service จะพยายาม Login ด้วยรหัสเดิมตลอดเวลา
ตรวจสอบ
services.msc
โดยเฉพาะ
- Backup Software
- Monitoring Software
- Database Service
⑧ ตรวจสอบ Scheduled Task
เปิด
Task Scheduler
ตรวจสอบ Task ที่ใช้ Domain Account
หากมีการเปลี่ยนรหัสผ่าน
Task เหล่านี้อาจยังใช้รหัสเดิม
และส่งผลให้บัญชีถูกล็อกซ้ำ
⑨ ตรวจสอบ Outlook และมือถือ
ปัญหาที่พบบ่อยมากคือ
ผู้ใช้เปลี่ยนรหัสผ่านแล้ว
แต่ยังมีอุปกรณ์เก่า เช่น
- โทรศัพท์มือถือ
- Tablet
- Outlook Profile เก่า
พยายามเชื่อมต่อด้วยรหัสเดิม
ส่งผลให้บัญชีถูกล็อกตลอดเวลา
⑩ ตรวจสอบ VPN
VPN Client ที่บันทึกรหัสผ่านเก่าไว้
สามารถทำให้ User ถูก Lock ได้เช่นกัน
ตรวจสอบ
- VPN Profile
- Saved Credential
- Always-on VPN
โดยเฉพาะในองค์กรที่มีการทำงานจากภายนอก
⑪ ใช้ LockoutStatus Tool
Microsoft มีเครื่องมือ
LockoutStatus.exe
ช่วยตรวจสอบ
- Domain Controller ที่ล็อกบัญชี
- เวลา Lock ล่าสุด
- สถานะบัญชี
เหมาะสำหรับการวิเคราะห์เชิงลึก
⑫ ตรวจสอบ Replication
หากมีหลาย Domain Controller
ตรวจสอบ
repadmin /replsummary
Replication ที่ผิดพลาด
อาจทำให้ข้อมูล Lockout ไม่ตรงกัน
⑬ ตรวจสอบ Audit Policy
เปิดการเก็บ Log เพิ่มเติม
เพื่อให้สามารถติดตามต้นเหตุได้ง่ายขึ้น
โดยเฉพาะในองค์กรขนาดใหญ่
ที่มี Domain Controller หลายเครื่อง
⑭ วิธีป้องกัน User ถูก Lock บ่อย
แนวทางที่แนะนำ
- ใช้ Password Manager
- อัปเดตรหัสผ่านทุกอุปกรณ์พร้อมกัน
- ตรวจสอบ Scheduled Task หลังเปลี่ยนรหัสผ่าน
- ตรวจสอบ Service Account เป็นประจำ
- ใช้ Monitoring System
- ตรวจสอบ Event ID 4740 อย่างสม่ำเสมอ
ทีมงาน comsiam มักแนะนำให้เริ่มวิเคราะห์จาก Event ID 4740 เสมอ เพราะช่วยลดเวลาหาต้นเหตุได้อย่างมากเมื่อเทียบกับการตรวจสอบทีละเครื่อง
⑮ สรุป
User ถูก Lock บ่อยบน Windows Server 2025 มักเกิดจากรหัสผ่านเก่าที่ถูกบันทึกไว้ใน Outlook, VPN, Service, Scheduled Task หรืออุปกรณ์มือถือ การปลดล็อกบัญชีเพียงอย่างเดียวไม่ช่วยแก้ปัญหา หากไม่หาต้นเหตุที่แท้จริง
สำหรับองค์กรที่ต้องการลดภาระงานด้าน Helpdesk comsiam แนะนำให้ใช้การตรวจสอบ Event ID 4740 ร่วมกับการบริหารจัดการ Password อย่างเป็นระบบ เพื่อป้องกันปัญหาการล็อกบัญชีซ้ำ ๆ ในระยะยาว
คำถามชวนคิด
เมื่อผู้ใช้ถูกล็อกบัญชีเป็นครั้งที่สามในวันเดียว คุณรู้หรือไม่ว่าเครื่องใดกำลังส่งรหัสผ่านเก่าเข้ามา หรือยังคงปลดล็อกบัญชีซ้ำไปเรื่อย ๆ โดยไม่ได้แก้ที่ต้นเหตุ?
