I am getting tons of event id 12294 error messages (got a total of 38 in the last hour and this is consistently how many we get every hour) We are also getting warning messages 1083 pretty consistently as well. In addition to the error message our admin account is getting constantly locked out. How do I go about tracking down the source of these messages and fixing them? Please help!!!
Here is an example of the 12294 message:
General:
The SAM database was unable to lockout the account of Administrator due to a resource error, such as a hard disk write failure (the specific error code is in the error data) . Accounts are locked after a certain number of bad passwords are provided so please consider resetting the password of the account mentioned above.
Details:
—
Provider
[
Name]
Microsoft-Windows-Directory-Services-SAM
[
Guid]
{0d4fdc09-8c27-494a-bda0-505e4fd8adae}
EventID
12294
Version
0
Level
2
Task
0
Opcode
0
Keywords
0x8000000000000000
—
TimeCreated
[
SystemTime]
2020-11-17T17:43:47.908651300Z
EventRecordID
260794
Correlation
—
Execution
[
ProcessID]
608
[
ThreadID]
3664
Channel
System
Computer
DC1.ccc1.local
—
Security
[
UserID]
S-1-5-18
—
EventData
UserName
Administrator
A50200C0
Binary data:
In Words
0000: C00002A5
In Bytes
0000: A5 02 00 C0 ¥..À
Example of the 1083 event ID:
General:
Active Directory Domain Services could not update the following object with changes received from the directory service at the following network address because Active Directory Domain Services was busy processing information.
Object:
CN=Administrator,OU=Administrators,OU=Domain Users,DC=ccc1,DC=local
Network address:
651a1e3a-e3eb-47d5-8a47-f3d75d609530._msdcs.ccc1.local
This operation will be tried again later.
Details:
—
System
—
Provider
[
Name]
Microsoft-Windows-ActiveDirectory_DomainService
[
Guid]
{0e8478c5-3605-4e8c-8497-1e730c959516}
[
EventSourceName]
NTDS
General
—
EventID
1083
[
Qualifiers]
32768
Version
0
Level
3
Task
5
Opcode
0
Keywords
0x8080000000000000
—
TimeCreated
[
SystemTime]
2020-11-17T17:45:52.457870900Z
EventRecordID
42753
—
Correlation
[
ActivityID]
{b6c29acb-571d-4b50-ab7c-a20a01efa28e}
—
Execution
[
ProcessID]
608
[
ThreadID]
4720
Channel
Directory
Service
Computer
DC1.ccc1.local
—
Security
[
UserID]
S-1-5-7
—
EventData
CN=Administrator,OU=Administrators,OU=Domain
Users,DC=ccc1,DC=local
651a1e3a-e3eb-47d5-8a47-f3d75d609530._msdcs.ccc1.local
- Remove From My Forums
-
Question
-
Log Name: System
Source: Microsoft-Windows-Directory-Services-SAM
Date: 9/16/2011 2:11:48 PM
Event ID: 12294
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: win2008svr.BRBWORLD.COM
Description:
The SAM database was unable to lockout the account of Administrator due to a resource error, such as a hard disk write failure (the specific error code is in the error data) . Accounts are locked after a certain number of bad passwords are provided so please
consider resetting the password of the account mentioned above.
Event Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
<System>
<Provider Name=»Microsoft-Windows-Directory-Services-SAM» Guid=»{0D4FDC09-8C27-494A-BDA0-505E4FD8ADAE}» />
<EventID>12294</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=»2011-09-16T08:41:48.657978700Z» />
<EventRecordID>19539369</EventRecordID>
<Correlation />
<Execution ProcessID=»824″ ThreadID=»3168″ />
<Channel>System</Channel>
<Computer>win2008svr.BRBWORLD.COM</Computer>
<Security UserID=»S-1-5-18″ />
</System>
<EventData Name=»SAMMSG_LOCKOUT_NOT_UPDATED»>
<Data Name=»UserName»>Administrator</Data>
<Binary>A50200C0</Binary>
</EventData>
</Event>This is the error i’m getting every seconds.. Please give the solution for this issue..
rmesh.k
Answers
-
-
Marked as answer by
Arthur_LiMicrosoft contingent staff
Saturday, September 24, 2011 1:16 AM
-
Marked as answer by
Skip to content
Situation: After configuring LAPS, the client gets this Event 12294: The SAM database was unable to lockout the account of Administrator due to a resource error, such as a hard disk write failure (the specific error code is in the error data) . Accounts are locked after a certain number of bad passwords are provided so please consider resetting the password of the account mentioned above.
Troubleshooting:
Error ID 12294 means there are numerous failure authentication events in security log due to incorrect credentials or could be a virus issue.
As you have changed the built-in domain Administrator password then ensure that the credentials are updated everywhere. e.g. for service account, IIS application pool, account tied to a scheduled task, virtual machine, mapped drice, etc…
If you have already verified the the old Administrator credentials are updatetd everywhere then the reason for event 12294 is worm virus and you need to full virus scan and Malicious Software Removal tool Virus to remove the Win32/Conficker malware family.
Event ID: 12294 Woes
http://blogs.technet.com/b/mempson/archive/2012/01/13/event-id-12294-woes.aspx
Malicious Software Removal tool Virus to remove the Win32/Conficker malware family.
http://support.microsoft.com/kb/962007
Bob Lin
Bob Lin, Chicagotech-MVP, MCSE & CNE
Data recovery, Windows OS Recovery, Networking, and Computer Troubleshooting on
http://www.ChicagoTech.net
How to Install and Configure Windows, VMware, Virtualization and Cisco on
http://www.HowToNetworking.com
View all posts by Bob Lin
Hello —
I’ve been noticing sporadic occurrences of the following event on a few servers on the domain including the Domain Controller:
The SAM database was unable to lockout the account of Administrator due to a resource error, such as a hard disk write failure (the specific error code is in the error data) . Accounts are locked after a certain number of bad passwords are provided so please consider resetting the password of the account mentioned above.
+ System
— Provider
[ Name] Microsoft-Windows-Directory-Services-SAM
[ Guid] {0D4FDC09-8C27-494A-BDA0-505E4FD8ADAE}
[ EventSourceName] SAM
— EventID 12294
[ Qualifiers] 0
Version 0
Level 2
Task 0
Opcode 0
Keywords 0x80000000000000
— TimeCreated
[ SystemTime] 2017-02-13T02:15:57.000Z
EventRecordID 273677
Correlation
— Execution
[ ProcessID] 0
[ ThreadID] 0
Channel System
Computer DFGSRV.%domain%.local
— Security
[ UserID] S-1-5-21-1044051095-560670649-4058220741-500
— EventData
UserName Administrator
A50200C0
———————————————————————————
Binary data:
In Words
0000: C00002A5
In Bytes
0000: A5 02 00 C0 ¥..À
I don’t see any problems. And the Events can have been manifesting as far back as 1/1/2017.
I can’t quite determine the appropriate approach to the resolution (if required). Could you offer some suggestions as to how to isolate the source of this error?
Thanks in advance.
Regards,
Rudy
Как определить почему блокируется уч. запись.
Причина таких проблем бывает иногда неожиданной, и решение просто. Например: Сервер был недоступен, система спросила у пользователся пароль на доступ к серверу, но пользователь ввёл неправильный пароль и выбрал ‘сохранить’.
В таком случае проблема быстро решается вот так:
Пуск — Выполнить — rundll32.exe keymgr.dll,KRShowKeyMgr (+ Enter)
Решение нашёл здесь: http://www.tweakxp.com/article37352.aspx
Если проблема не в этом, то тогда один из вариантов для анализа: пользоваться EventCombMT.
Из материалов Майкрософта на технете (точной ссылки на источник нет). Нашёл здесь:
http://www.oszone.net/4626_2/
Это средство позволяет осуществлять синтаксический разбор и сбор событий из журналов событий на нескольких компьютерах. Оно запускается как многопоточное приложение, позволяющее пользователю указать любое количество параметров при сканировании журналов событий, например:
* коды событий (один или несколько),
* диапазоны кодов событий,
* источники событий,
* определённый текст события,
* срок события в минутах, часах или днях.
В средство EventCombMT встроены определённые категории поиска, например блокировки учётных записей, обеспечивающие возможность поиска перечисленных ниже событий.
* 529. Сбой при входе в систему (неправильное имя пользователя или пароль).
* 644. Учётная запись пользователя была автоматически заблокирована.
* 675. Сбой предварительной проверки подлинности в контроллере домена (неправильный пароль).
* 676. Сбой запроса билета проверки подлинности.
* 681. Сбой при входе в систему.
Другим событием, связанным с безопасностью, которое не записывается в файл журнала безопасности, является событие 12294, которое записывается в файл журнала системы. Это событие необходимо добавить во все поисковые запросы, поскольку его можно использовать для обнаружения попыток атак на учётную запись администратора, которая не имеет порогового значения блокировки и поэтому является уязвимой и привлекательной целью для любого потенциального злоумышленника.
Примечание: Событие 12294 отражается как событие диспетчера учётных записей безопасности (Security Accounts Manager, SAM) в системном журнале, а не в журнале безопасности.
EventCombMT может сохранять события в таблицу базы данных Microsoft SQL Server™, что является полезным для долгосрочного хранения и анализа. После сохранения в базу данных SQL Server сведения из журналов событий можно оценить с помощью набора различных программ, например SQL Query Analyzer, Microsoft Visual Studio® .NET или программ сторонних производителей.
Описание (к сожалению-по английски):
http://support.microsoft.com/kb/824209
Загрузка:
http://www.microsoft.com/downloads/details…;displaylang=en
Относится к:
* Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
* Microsoft Windows Server 2003, Standard Edition (32-bit x86)
* Microsoft Windows 2000 Server
Сообщите о результатах. При сомнении, выложите записи из журнала.
Paul