locked
Cuenta de usuario Active Directory se bloquea a cada instante RRS feed

  • Pregunta

  • Estimados,

    Buen día, si alguien le ha pasado lo siguiente:

    Tengo una cuenta de usuario active directory que se bloquea cada 5 segundos y no pasa el problema por intentos de inicio que se bloquee.

    Existe en Microsoft alguna herramienta que pueda detectar la causa?.

    O realizar alguna prueba que permita con claridad descifrar lo que pasa.

    Gracias

    Caro.

    viernes, 22 de mayo de 2015 12:42

Respuestas

  • Hola ctolosat como estas,

    Desde el Domain Controller + Event Viewer + Security haz un filtrado por event id 644 o 4740, en donde aparece el domain\user, la hora y nombre de host.

    No olvidar chequear la GPO "Default Domain Controllers Policy".

    Espero sea de ayuda. Saludos.



    • Propuesto como respuesta Moderador M lunes, 25 de mayo de 2015 20:46
    • Marcado como respuesta Moderador M martes, 2 de junio de 2015 14:54
    • Editado Ignacio Barrios viernes, 12 de junio de 2015 13:32
    lunes, 25 de mayo de 2015 4:20
  • Hola,

    La auditoria estaba habilitada, por lo que analizar el log se encuentra el equipo que bloquea la cuenta.

    En mi caso lo que hice fue lo siguiente:

    Lo primero utilice la herramienta LockoutStatus para ver cual controlador de dominio bloqueo la cuenta para luego en ese DC revisar el log.

    Ingresar al DC a Event Viewer Security con find buscar la cuenta, sino figura nada lo mejor es descargar el log a tu PC.

    En el log arroja el nombre del PC después hacer lo siguiente.

    nslookup y nombre de la maquina que te apareció en el log y te arrojara la IP, con ese dato podrás comprobar si esa es la misma maquina del usuario u otra que esta bloqueando la cuenta. 

    Gracias por su ayuda!!!!

    • Propuesto como respuesta Alvaro Paredes jueves, 18 de junio de 2015 14:37
    • Marcado como respuesta Moderador M martes, 7 de julio de 2015 21:23
    martes, 16 de junio de 2015 12:07
  • No hay problema, con lo de la auditoria vas a ver exactamente que hostname es el que lo está bloqueando.

    Luego es cuestion de revisar en esa maquina por:

    Unidades de red mapeadas con credenciales antiguas de ese usuario

    Credenciales cacheadas en sistema

    discos duros compartidos con esas credenciales

    Aplicaciones corriendo con esa credencial guardada

    etc...

    Ya nos contarás que tal.

    • Propuesto como respuesta Moderador M miércoles, 27 de mayo de 2015 20:25
    • Marcado como respuesta Moderador M martes, 2 de junio de 2015 14:54
    martes, 26 de mayo de 2015 15:45

Todas las respuestas

  • Hola Ctolosat.

    Si existe. Se llama Microsoft Account Lockout and Management Tools:

    https://www.microsoft.com/en-us/download/details.aspx?id=18465

    Tambien Account Lockout Status: 

    https://www.microsoft.com/en-us/download/details.aspx?id=15201

    Y tienes mas informacion en:

    https://technet.microsoft.com/en-us/library/cc738772(v=ws.10).aspx

    Un saludo.

    viernes, 22 de mayo de 2015 12:48
  • Hola, estuve mirando y probé el software pero no dice mucho hay algo como que dijera que lo esta bloqueando, como por ejemplo que muestre el nombre de pc que lo bloquea. Gracias!!!.
    viernes, 22 de mayo de 2015 13:39
  • Hola ctolosat como estas,

    Desde el Domain Controller + Event Viewer + Security haz un filtrado por event id 644 o 4740, en donde aparece el domain\user, la hora y nombre de host.

    No olvidar chequear la GPO "Default Domain Controllers Policy".

    Espero sea de ayuda. Saludos.



    • Propuesto como respuesta Moderador M lunes, 25 de mayo de 2015 20:46
    • Marcado como respuesta Moderador M martes, 2 de junio de 2015 14:54
    • Editado Ignacio Barrios viernes, 12 de junio de 2015 13:32
    lunes, 25 de mayo de 2015 4:20
  • Hola ctolosat,

    Coincido con ignaba. Lo mejor es que habilites la politica de dominio para Auditar eventos de Logon:

    Desde un DC:

    Editar la politica Predeterminda del Dominio > Configuracion de Equipo -> Directivas -> Configuracion de Windows -> Configuracion de Seguridad -> Directivas Locales -> Directivas de Auditoria -> Auditoria de Eventos de Inicio de Sesion de cuenta = Habilitada

    Tambien:

    Editar la politica Predeterminda del Dominio > Configuracion de Equipo -> Directivas -> Configuracion de Windows -> Configuracion de Seguridad ->  Configuración de directiva de auditoría avanzada -> Directivas de Auditoria = Habilitar las 4 directivas que se encuentra dentro.

    A partir de ese momento se registran los eventos de Logon/Lockout/Logoff en cualquier DC del dominio.

    Cuando la cuenta se vuelva a bloquear, simplemente ve a Visor de Sucesos, Eventos de Seguridad, Filtra el visor a una fecha cercana (para evitar una salida inmensa) y exporta el Visor de Sucesos de Seguridad a TXT. Solo necesitas buscar en el TXT por el nombre del usuario bloqueado o los Eventos 644 (2003) o 4740 (2008 y superior).

     

    Eso si, esto solo te dirá desde que maquina se bloqueó pero no la razon. Para ver la razon has de habilitar el log detallado de Netlogon.

    Basta con ejecutar en un DC, desde DOS con permisos de Administrador:nltest /dbflag:0x2080ffff 

    Este fichero lo encontrarás en %SystemRoot%\Debug\netlogon

    En Netlogon (lo puedes ver como archivo de texto) podrás ver el codigo exacto del logon de esa cuenta de equipo, a la hora que te marque el evento de Seguridad. Deberá aparecer un codigo 0x... y la traduccion la puedes ver aqui:


    O tambien puedes usar la utilidad NLParse.exe que se incluye en las Account Lockout Tools que te mencionaba anteriormente. 

    Cuando tengas la razon del bloqueo, pegala por aqui, para poder darte mas informacion de lo que está bloqueando la cuenta concretamente.

    Un saludo!

    • Propuesto como respuesta Moderador M lunes, 25 de mayo de 2015 20:46
    lunes, 25 de mayo de 2015 8:46
  • Por lo que dice, es que se bloquea automáticamente, pero desde que maquina? 

    Revisare lo de la auditoria.

    Gracias por las respuestas.

    martes, 26 de mayo de 2015 14:13
  • No hay problema, con lo de la auditoria vas a ver exactamente que hostname es el que lo está bloqueando.

    Luego es cuestion de revisar en esa maquina por:

    Unidades de red mapeadas con credenciales antiguas de ese usuario

    Credenciales cacheadas en sistema

    discos duros compartidos con esas credenciales

    Aplicaciones corriendo con esa credencial guardada

    etc...

    Ya nos contarás que tal.

    • Propuesto como respuesta Moderador M miércoles, 27 de mayo de 2015 20:25
    • Marcado como respuesta Moderador M martes, 2 de junio de 2015 14:54
    martes, 26 de mayo de 2015 15:45
  • Hola, gracias, di vuelta el computador revisándolo el afectado, espero no se me haya escapado nada. (jee), tienes algun post donde pueda guiarme para activar la auditoria en un DC, esto una vez activado es posible desactivarlo?, los log llenaran el disco duro? o es posible que los log queden almacenados en otro lugar?. pretendo hacer lo de la auditoria pero quiero resolver todas mis dudas antes de activarlo. ojala me puedas ayudar.

    Gracias por tu respuesta, espero solucionarlo por que tener que estar creando cuentas nuevas para solucionarlo no tiene gracia.

    Carola

    jueves, 4 de junio de 2015 12:17
  • Hola Carola,

    Para activar la auditoria:

    Desde un DC:

    Editar la politica Predeterminda del Dominio > Configuracion de Equipo -> Directivas -> Configuracion de Windows -> Configuracion de Seguridad -> Directivas Locales -> Directivas de Auditoria -> Auditoria de Eventos de Inicio de Sesion de cuenta = Habilitada

    Tambien:

    Editar la politica Predeterminda del Dominio > Configuracion de Equipo -> Directivas -> Configuracion de Windows -> Configuracion de Seguridad ->  Configuración de directiva de auditoría avanzada -> Directivas de Auditoria = Habilitar las 4 directivas que se encuentra dentro.

    Para desactivarlo, simplemente hay que hacer la modificacion a la inversa, y dejar los valores en "No Configurado".

    En cuanto al tamaño, es importante, pero demasiado. En los peores casos que he visto, han llegado a 1GB-2GB. De todas formas, puedes limpiar el log de eventos en cualquier momento. Desde Visor de Sucesos/Sucesos de Windows/ Boton derecho sobre "Seguridad" y seleccionar limpiar log, e incluso salvar a otra ubicacion, como un pendrive o similar, en caso que te interese por motivos historicos.

    Buscando un articlo especifico, he encontrado este Blog Technet de Latam donde explica el proceso de una forma algo mas avanzada:

    http://blogs.technet.com/b/latam/archive/2006/03/17/423428.aspx

    Un saludo.

    jueves, 4 de junio de 2015 13:45
  • Gracias, voy a revisarlo :)

    jueves, 11 de junio de 2015 11:46
  • Hola,

    La auditoria estaba habilitada, por lo que analizar el log se encuentra el equipo que bloquea la cuenta.

    En mi caso lo que hice fue lo siguiente:

    Lo primero utilice la herramienta LockoutStatus para ver cual controlador de dominio bloqueo la cuenta para luego en ese DC revisar el log.

    Ingresar al DC a Event Viewer Security con find buscar la cuenta, sino figura nada lo mejor es descargar el log a tu PC.

    En el log arroja el nombre del PC después hacer lo siguiente.

    nslookup y nombre de la maquina que te apareció en el log y te arrojara la IP, con ese dato podrás comprobar si esa es la misma maquina del usuario u otra que esta bloqueando la cuenta. 

    Gracias por su ayuda!!!!

    • Propuesto como respuesta Alvaro Paredes jueves, 18 de junio de 2015 14:37
    • Marcado como respuesta Moderador M martes, 7 de julio de 2015 21:23
    martes, 16 de junio de 2015 12:07
  • Hola que tal? haz podido resolver o recuerdas como resolver esto?

    estoy pasando por lo mismo tengo una cuenta de usuario que se bloquea solo y probe con algunas cosas

    que dijeron aqui, pero no pude solucionarlo

    martes, 5 de junio de 2018 17:39
  • Hola estimados, buenas tardes.

    Retomando este tema, tengo problemas con un usuario que se bloquea constantemente y al filtrar id 4740, no me aparece el nombre de maquina con el problema sino asi Caller Computer Name: Windows10 o Windows7, 2012, etc.

    Que otra cosa podria hacer para detectar el origen del bloqueo?

    Desde ya muchas gracias!

    lunes, 22 de junio de 2020 17:47
  • Hola Pablo_75

     

    Gracias por tu respuesta en los foros de TechNet. Te comunico que este hilo pasará a estar cerrado debido a la antigüedad que tiene. Si deseas formular una pregunta o consulta similar a esta o una nueva, abre un nuevo hilo por favor.

     

    Igualmente, te agradecemos mucho tu respuesta y colaboración.

     

    Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.

    Gracias por usar los foros de TechNet.

     

     

    Miguel Mosquera

     

    --------------------------------------------------------------------------

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    martes, 23 de junio de 2020 10:28
    Moderador