Remove From My Forums

Cuentas del Directorio Activo

Pregunta
0

Inicie sesión para votar

Buenas tardes... Hace cierto tiempo se viene presentando el bloqueo constante de las cuentas del directorio activo de manera aleatoria. Para ello, se mantiene un bat ejecutando que desbloquea las cuentas. El problema ahora es que las cuentas del AD se estan eliminando de manera inesperada y no he encontrado la razón frente a esto. Si alguin tiene alguna indicación respecto al inconveniente, agradecería me diera una luz.
Muchas gracias por la atención.

jueves, 12 de noviembre de 2009 18:52

Responder

|

Citar

Respuestas

1

Inicie sesión para votar
Buenos dias , y con permiso de Rafa ,

Para hacer un correcto troubleshooting deberiamos

1 - Habilitar el log de netlogon
http://support.microsoft.com/default.aspx/kb/109626

2 - Habilitar la auditoria de Account Logon Events , Account Management y Logon Events.

3 - Una vez con todos los logs activados , deberas tratar de identificar desde donde provienen los intentos de logueo, para eso puedes utilizar cualquiera de los logs

En el netlogon.log, debes buscar los intentos de logueo de la cuenta que estes buscando y veras que dice via xxxxxxx , donde xxxxxx es la maquina desde donde proviene el intento de logueo.

En el caso de el Visor De sucesos , puedes filtrar oor eventos 644, donde tendras una linea llamada Caller Machine Name , que tambien es desde donde se ha bloqueado la cuenta.

El siguiente es un documento genial para hacer troubleshooting de Account Lockout
http://blogs.technet.com/latam/archive/2006/03/17/423428.aspx

Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --
- Propuesto como respuesta Rafael Villasenor JofreModerator lunes, 16 de noviembre de 2009 12:26
- Marcado como respuesta Atilla ArrudaModerator miércoles, 18 de noviembre de 2009 12:27
domingo, 15 de noviembre de 2009 19:18

Responder

|

Citar

Moderador

Todas las respuestas

0

Inicie sesión para votar

Desde el DC utiliza en el VISOR DE SUCESOS la rama SEGURIDAD.
Allí podrá determinar porque las cuentas se bloquean y cuando fueron eliminados los usuarios.

Saludos.
Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.

jueves, 12 de noviembre de 2009 20:36

Responder

|

Citar

Moderador
1

Inicie sesión para votar
Buenos dias , y con permiso de Rafa ,

Para hacer un correcto troubleshooting deberiamos

1 - Habilitar el log de netlogon
http://support.microsoft.com/default.aspx/kb/109626

2 - Habilitar la auditoria de Account Logon Events , Account Management y Logon Events.

3 - Una vez con todos los logs activados , deberas tratar de identificar desde donde provienen los intentos de logueo, para eso puedes utilizar cualquiera de los logs

En el netlogon.log, debes buscar los intentos de logueo de la cuenta que estes buscando y veras que dice via xxxxxxx , donde xxxxxx es la maquina desde donde proviene el intento de logueo.

En el caso de el Visor De sucesos , puedes filtrar oor eventos 644, donde tendras una linea llamada Caller Machine Name , que tambien es desde donde se ha bloqueado la cuenta.

El siguiente es un documento genial para hacer troubleshooting de Account Lockout
http://blogs.technet.com/latam/archive/2006/03/17/423428.aspx

Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --
- Propuesto como respuesta Rafael Villasenor JofreModerator lunes, 16 de noviembre de 2009 12:26
- Marcado como respuesta Atilla ArrudaModerator miércoles, 18 de noviembre de 2009 12:27
domingo, 15 de noviembre de 2009 19:18

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Que buena respuesta Sebas!!!
Por eso, además de lo buena pesona que sos, sos mi Amigo!!

Saludos.
Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.

lunes, 16 de noviembre de 2009 12:26

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Buenos días.
Ante todo, ofrezco disculpas por la tardanza en contestar a sus recomendaciones, estaba bastante concentrado en el análisis de los log´s, y creanme que es bastante tedioso.
Finalmente, se verificó e identificó una máquina ubicada en una de las sedes alternas, estaba realizando demasiadas peticiones, comportándose como un ataque al PDC.
Se aisló y el problema no se ha presentado.

Muchas gracias por la atención.

Saludos.

JAVIER A. PEREIRA V.

viernes, 20 de noviembre de 2009 14:41

Responder

|

Citar

Productos

Resources

Solutions

Actualizaciones

Pruebas

Sitios relacionados

Aprendizaje

Certificaciones

Otros recursos

Por producto

Otros vínculos

¿No es experto en TI?

Principales respuestas

Cuentas del Directorio Activo

Pregunta

Respuestas

Todas las respuestas