none
Se bloquea una cuenta de usuario en un volumen DFS RRS feed

  • Pregunta

  • Hola a todos.

    Trabajo en un entorno con varias docenas de maquinas virtuales y los trabajadores se conectan a varias de ellas a la vez cada dia.

    Hay una máquina concreta con XP, que bloquea sólo a un usuario cuando intenta acceder a una unidad de red desde ella.  Si intenta acceder a la misma unidad de red desde otra maquina puede perfectamente y desde esa maquina accede a otras unidades de red también sin problemas. Pero en cuanto intento acceder a esa unidad concreta desde esa maquina concreta se bloquea la cuenta.

    Ya la he desconectado y vuelto a conectar por si cacheaba las credenciales, le he reseteado la contraseña, e incluso he llegado a renovar la pertenencia a dominio de esa maquina, pero vuelve a pasar. 

    La política de bloqueo permite poner mal la contraseña 5 veces, pero la cuenta se bloquea en el primer intento (aparentemente).

    Otra cosa, la unidad compartida es un volumen DFS, pero no creo que sea esto, porque ya os digo que desde otras maquinas va bien. 

    Y por ultimo, en el visor de sucesos del AD, seguridad, tengo esto

    Event Type: Failure Audit

    Event Source: Security
    Event Category: Account Logon 
    Event ID: 675
    Date: 05/12/2012
    Time: 13:38:18
    User: NT AUTHORITY\SYSTEM
    Computer: XXXX (servidor de dominio principal y dns)
    Description:
    Pre-authentication failed:
      User Name: userxxx
      User ID: domainxxx\userxxx
      Service Name: krbtgt/domainxxx
      Pre-Authentication Type: 0x2
      Failure Code: 0x18
      Client Address: 192.168.10.2

    La 10.2 es la IP del segundo controlador de dominio, no de la maquina problematica. Este se repite 3 veces, luego hay lo mismo con el error 0x12 y se repite 4 veces. Los 7 mensajes en el mismo segundo.

    Me pide las credenciales, pero la cuenta y ya está bloqueada. 

    He mirado si hay errores de sincronización entre los 2 controladores de dominio y no hay nada.

    No sé por donde seguir mirando. Los codigos 0x18 y 0x12 no me dicen nada que no sepa, aunque me confirman que es por la contraseña:

    Pre-authentication information was invalid.

    Client’s credentials have been revoked.

    Me podéis echar una mano? Muchas gracias.


    Carlos Teruel

    miércoles, 5 de diciembre de 2012 14:36

Respuestas

  • Otro dato que te puede ayudar:

    Antes de probar este procedimiento haz un respaldo de tu registro, pues no es un procedimiento avalado por Microsoft.

    Si abrís el registro de windows con credenciales de administrador y buscas en la siguiente ubicación "HKEY_LOCAL_MACHINE\SECURITY\CACHE", encontraras  10  entradas que comienzan con NL$1 hasta NL$10. Estas entradas contienen las credenciales de usuario a nivel de dominio en cache local.

    Por defecto Windows permite 10 credenciales que queden en  cache. Las nuevas sobreescriben a las antiguas.

    Si se borran las entradas NL$ , Windows nunca mas almacenara credenciales a nivel de dominio en cache.
    Simplemente  edita el "Value Data"  en cada entrada NL$  y remplazar el valor por '0' (CERO). Esto eliminara las credenciales existentes en el cache local.

    miércoles, 5 de diciembre de 2012 18:56

Todas las respuestas

  • Todo da para pensar en un problema específico de esa máquina, por ejemplo que no esté usando un protocolo de autenticación permitido

    Yo creo que no dudaría en resintalar la máquina que genera el problema, porque las situaciones como las que comentas a veces no son fáciles de resolver

    Pero de todas formas si quieres intentarlo

    Download Account Lockout and Management Tools from Official Microsoft Download Center:
    http://www.microsoft.com/en-us/download/details.aspx?id=18465

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 5 de diciembre de 2012 17:58
    Moderador
  • Hola Carlos Teruel,

    Descarga el siguiente conjunto de herramientas:

    http://www.microsoft.com/en-us/download/details.aspx?id=18465

    ejecuta la herramienta "LockoutStatus"

    En File -> Select Target coloca el nombre del usuario en "Target User Name" y el nombre del dominio en "Target Domain Name" Luego clic en "OK"

    Correra un proceso que te mostrara para ese usuario en que controladores de dominio se generaron eventos de logon fallidos y la cantidad de eventos y la fecha y hora del ultimo evento.

    Luego deberas ir al Controlador de Dominio donde se registraron los logon events fallidos y buscas los eventos que ya mostrastes mas arriba para ver el equipo desde donde se produce el bloqueo.

    En el equipo este con problemas deberas verificar que no haya tareas programadas que se esten ejecutando con ese usuario, tambien debes verificar que no haya servicios que esten siendo ejecutados con ese usuario, desmapea todas las unidades que tengas pues las unidades quedan mapeadas con las credenciales utilizadas por primera vez.

    No le adjudicaría el bloqueo del usuario al intento de acceso a la unidad mapeada, a no ser que este intentando mapear la unidad al momento que intentas ingresar.

    miércoles, 5 de diciembre de 2012 18:04
  • Hola y gracias a los 2 por responder.

    Tengo algun dato más, que demuestra que es por el cache de las contraseñas en la unidad mapeada.

    Si la desmapeo y la vuelvo a mapear me pasa lo mismo. Pero si la desmapeo y la vuelvo a mapear como si fuera a poner las credenciales de otro, pero le pongo las del usuario que toca, funciona.

    Lo curioso del caso es que ya deberia sobreescribir lo que tuviera en cache, pero si de nuevo desmapeo y mapeo sin poner credenciales, de nuevo me bloquea la cuenta. 

    ¿donde se guarda este cache? me imagino que muy a la vista no estará... :-)

    Por lo menos no tendré que reinstalar la maquina, con borrar el perfil de este usuario se arreglará definitivamente.

    curioso es, desde luego.


    Carlos Teruel

    miércoles, 5 de diciembre de 2012 18:34
  • Otro dato que te puede ayudar:

    Antes de probar este procedimiento haz un respaldo de tu registro, pues no es un procedimiento avalado por Microsoft.

    Si abrís el registro de windows con credenciales de administrador y buscas en la siguiente ubicación "HKEY_LOCAL_MACHINE\SECURITY\CACHE", encontraras  10  entradas que comienzan con NL$1 hasta NL$10. Estas entradas contienen las credenciales de usuario a nivel de dominio en cache local.

    Por defecto Windows permite 10 credenciales que queden en  cache. Las nuevas sobreescriben a las antiguas.

    Si se borran las entradas NL$ , Windows nunca mas almacenara credenciales a nivel de dominio en cache.
    Simplemente  edita el "Value Data"  en cada entrada NL$  y remplazar el valor por '0' (CERO). Esto eliminara las credenciales existentes en el cache local.

    miércoles, 5 de diciembre de 2012 18:56
  • Gracias, Maximiliano.

    Me haré una copia de la maquina y lo probaré.


    Carlos Teruel

    miércoles, 5 de diciembre de 2012 19:04