none
Bloqueo de cuenta con menos intentos de los establecidos por GPO RRS feed

  • Pregunta

  • Buenos dias

    Desde un web servicie se lanza una petición de checkpassword , para DA un solo chequeo da lugar a dos intentos de validación ,

    la política aplicada a dominio es de 5 intentos , se trata de un w2003 server R2 y las peticiones se lanzan desde un IIS 6 con w2003 server R2

    Event Log: Aparecen tres eventos por cada intento

       

    529,AUDIT FAILURE,Security,Mon Oct 19 10:26:20 2015,NT AUTHORITY\SYSTEM,Logon Failure:     Reason:  Unknown user name or bad password     User Name: ******     Domain:  ******     Logon Type: 3     Logon Process: NtLmSsp      Authentication Package: NTLM     Workstation Name: *******     Caller User Name: -     Caller Domain: -     Caller Logon ID: -     Caller Process ID: -     Transited Services: -     Source Network Address: *.*.*.*.     Source Port: 4665

    680,AUDIT FAILURE,Security,Mon Oct 19 10:26:20 2015,NT AUTHORITY\SYSTEM,Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0    Logon account: antonio    Source Workstation: ******   Error Code: 0xC000006A    

    675,AUDIT FAILURE,Security,Mon Oct 19 10:26:20 2015,NT AUTHORITY\SYSTEM,Pre-authentication failed:     User Name: *****     User ID:  %{S-1-5-21-2158677667-3004680361-132054453-82048}     Service Name: krbtgt/*******     Pre-Authentication Type: 0x2     Failure Code: 0x18     Client Address: ****** 

    martes, 20 de octubre de 2015 8:35

Respuestas

  • Por lo que se puede observar en los eventos el primero (529) es porque está tratando de autenticar con NTLM, y el tercero (675) es la preautenticación de Kerberos

    Es difícil encontrar actualmente mucha información de W2003, aunque hay buenos datos en https://technet.microsoft.com/library/cc163121.aspx#EKH

    De todas formas creo que la solución debería pasar por otro lado :)

    - Que el usuario/contraseña no contenga errores

    - Que actualices a W2012, porque en ese caso, se podrían poner políticas de bloqueo separadas del resto del Dominio

    Windows Server 2012 – Fine-grained Passwords and Account Lockout Policy | WindowServer
    https://windowserver.wordpress.com/2012/06/08/windows-server-2012-fine-grained-passwords-and-lockout/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 21 de octubre de 2015 14:26
    • Marcado como respuesta Moderador M lunes, 26 de octubre de 2015 15:19
    martes, 20 de octubre de 2015 16:12
    Moderador