none
Cuentas del Directorio Activo RRS feed

  • Pregunta

  • Buenas tardes... Hace cierto tiempo se viene presentando el bloqueo constante de las cuentas del directorio activo de manera aleatoria. Para ello, se mantiene un bat ejecutando que desbloquea las cuentas. El problema ahora es que las cuentas del AD se estan eliminando de manera inesperada y no he encontrado la razón frente a esto. Si alguin tiene alguna indicación respecto al inconveniente, agradecería me diera una luz.
    Muchas gracias por la atención.
    jueves, 12 de noviembre de 2009 18:52

Respuestas

  • Buenos dias , y con permiso de Rafa , 

    Para hacer un correcto troubleshooting deberiamos 


    2 - Habilitar la auditoria de Account Logon Events , Account Management y Logon Events.

    3 - Una vez con todos los logs activados , deberas tratar de identificar desde donde provienen los intentos de logueo, para eso puedes utilizar cualquiera de los logs

    En el netlogon.log, debes buscar los intentos de logueo de la cuenta que estes buscando y veras que dice via xxxxxxx  , donde xxxxxx es la maquina desde donde proviene el intento de logueo.

    En el caso de el Visor De sucesos , puedes filtrar oor eventos 644, donde tendras una linea llamada Caller Machine Name , que tambien es desde donde se ha bloqueado la cuenta.


    El siguiente es un documento genial para hacer troubleshooting de Account Lockout
    http://blogs.technet.com/latam/archive/2006/03/17/423428.aspx




    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --
    domingo, 15 de noviembre de 2009 19:18
    Moderador

Todas las respuestas

  • Desde el DC utiliza en el VISOR DE SUCESOS la rama SEGURIDAD.
    Allí podrá determinar porque las cuentas se bloquean y cuando fueron eliminados los usuarios.


    Saludos.

    Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.
    jueves, 12 de noviembre de 2009 20:36
    Moderador
  • Buenos dias , y con permiso de Rafa , 

    Para hacer un correcto troubleshooting deberiamos 


    2 - Habilitar la auditoria de Account Logon Events , Account Management y Logon Events.

    3 - Una vez con todos los logs activados , deberas tratar de identificar desde donde provienen los intentos de logueo, para eso puedes utilizar cualquiera de los logs

    En el netlogon.log, debes buscar los intentos de logueo de la cuenta que estes buscando y veras que dice via xxxxxxx  , donde xxxxxx es la maquina desde donde proviene el intento de logueo.

    En el caso de el Visor De sucesos , puedes filtrar oor eventos 644, donde tendras una linea llamada Caller Machine Name , que tambien es desde donde se ha bloqueado la cuenta.


    El siguiente es un documento genial para hacer troubleshooting de Account Lockout
    http://blogs.technet.com/latam/archive/2006/03/17/423428.aspx




    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --
    domingo, 15 de noviembre de 2009 19:18
    Moderador
  • Que buena respuesta Sebas!!!
    Por eso, además de lo buena pesona que sos, sos mi Amigo!!

    Saludos.

    Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.
    lunes, 16 de noviembre de 2009 12:26
    Moderador
  • Buenos días.
    Ante todo, ofrezco disculpas por la tardanza en contestar a sus recomendaciones, estaba bastante concentrado en el análisis de los log´s, y creanme que es bastante tedioso.
    Finalmente, se verificó e identificó una máquina ubicada  en una de las sedes alternas, estaba realizando demasiadas peticiones, comportándose como un ataque al PDC.
    Se aisló y el problema no se ha presentado.

    Muchas gracias por la atención.

    Saludos.

    JAVIER A. PEREIRA V.
    viernes, 20 de noviembre de 2009 14:41