Principales respuestas
Cuentas del Directorio Activo

Pregunta
-
Buenas tardes... Hace cierto tiempo se viene presentando el bloqueo constante de las cuentas del directorio activo de manera aleatoria. Para ello, se mantiene un bat ejecutando que desbloquea las cuentas. El problema ahora es que las cuentas del AD se estan eliminando de manera inesperada y no he encontrado la razón frente a esto. Si alguin tiene alguna indicación respecto al inconveniente, agradecería me diera una luz.
Muchas gracias por la atención.
Respuestas
-
Buenos dias , y con permiso de Rafa ,Para hacer un correcto troubleshooting deberiamos1 - Habilitar el log de netlogon
http://support.microsoft.com/default.aspx/kb/1096262 - Habilitar la auditoria de Account Logon Events , Account Management y Logon Events.3 - Una vez con todos los logs activados , deberas tratar de identificar desde donde provienen los intentos de logueo, para eso puedes utilizar cualquiera de los logsEn el netlogon.log, debes buscar los intentos de logueo de la cuenta que estes buscando y veras que dice via xxxxxxx , donde xxxxxx es la maquina desde donde proviene el intento de logueo.En el caso de el Visor De sucesos , puedes filtrar oor eventos 644, donde tendras una linea llamada Caller Machine Name , que tambien es desde donde se ha bloqueado la cuenta.El siguiente es un documento genial para hacer troubleshooting de Account Lockout
http://blogs.technet.com/latam/archive/2006/03/17/423428.aspx
Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --- Propuesto como respuesta Rafael Villasenor JofreModerator lunes, 16 de noviembre de 2009 12:26
- Marcado como respuesta Atilla ArrudaModerator miércoles, 18 de noviembre de 2009 12:27
Todas las respuestas
-
Desde el DC utiliza en el VISOR DE SUCESOS la rama SEGURIDAD.
Allí podrá determinar porque las cuentas se bloquean y cuando fueron eliminados los usuarios.
Saludos.
Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil. -
Buenos dias , y con permiso de Rafa ,Para hacer un correcto troubleshooting deberiamos1 - Habilitar el log de netlogon
http://support.microsoft.com/default.aspx/kb/1096262 - Habilitar la auditoria de Account Logon Events , Account Management y Logon Events.3 - Una vez con todos los logs activados , deberas tratar de identificar desde donde provienen los intentos de logueo, para eso puedes utilizar cualquiera de los logsEn el netlogon.log, debes buscar los intentos de logueo de la cuenta que estes buscando y veras que dice via xxxxxxx , donde xxxxxx es la maquina desde donde proviene el intento de logueo.En el caso de el Visor De sucesos , puedes filtrar oor eventos 644, donde tendras una linea llamada Caller Machine Name , que tambien es desde donde se ha bloqueado la cuenta.El siguiente es un documento genial para hacer troubleshooting de Account Lockout
http://blogs.technet.com/latam/archive/2006/03/17/423428.aspx
Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --- Propuesto como respuesta Rafael Villasenor JofreModerator lunes, 16 de noviembre de 2009 12:26
- Marcado como respuesta Atilla ArrudaModerator miércoles, 18 de noviembre de 2009 12:27
-
-
Buenos días.
Ante todo, ofrezco disculpas por la tardanza en contestar a sus recomendaciones, estaba bastante concentrado en el análisis de los log´s, y creanme que es bastante tedioso.
Finalmente, se verificó e identificó una máquina ubicada en una de las sedes alternas, estaba realizando demasiadas peticiones, comportándose como un ataque al PDC.
Se aisló y el problema no se ha presentado.
Muchas gracias por la atención.
Saludos.
JAVIER A. PEREIRA V.