Usuario se bloquea de manera aleatoria
Pregunta
Respuestas
-
Buenas Tronis,
Los bloqueos ocurre porque tiene una contraseña antigua almacenada en algún servicio o aplicación.
Lo primero que tienes que analizar si un usuario se bloquea constantemente:
- ¿Usa dispositivo móvil? Si es así, comprobar que no tenga sus credenciales de Windows configurada en alguna aplicación móvil corporativa o en la aplicación correo electrónico.
- Comprobar si en el PC usa alguna aplicación que pueda tener las credenciales de Windows. A su vezcomprobar el almacén de credenciales de Windows y eliminar las credenciales que existan.
- ¿Se conecta a más de un equipo? Comprobar el paso número 2. en los equipos que use.
Si tras verificar los pasos anteriores no se soluciona tendrías que instalar la herramienta que ha comentado Nicolás Ortiz Luengo, LockoutStatuos.exe.
https://www.microsoft.com/en-us/download/details.aspx?id=18465
Una vez instalado sigue los siguientes pasos, ejecuta la herramienta:
- Selecciona File > Select Target. En target user name debes escribir el login del usuario que se bloquea y en target domain name el nombre del dominio. Escribe los datos y presiona
OK.
- En el campo Lockout Time aparece la hora en la que se bloqueó la cuenta y en el campo Orig lock el origen del bloqueo o el servidor donde se originó. Debes tener en cuenta la fecha, hora y servidor donde se bloqueó.
- A continuación abre el visor de eventos de Windows. Sobre Visor de eventos (local) haz clic con el botón derecho del ratón y selecciona Conectarse a otro equipo. Escribe el nombre del equipo y pulsar aceptar.
- Una vez conectado al servidor debes irte a Registro de Windows > Seguridad. Arriba en la barra de herramientas selecciona Acción > filtrar registro actual.
- En el campo registrado selecciona intervalo personalizado y escribe la fecha y hora en la que se produjo el bloqueo en De: y A:. Presiona Aceptar.
- Una vez realizado estos pasos tienes que ir viendo las auditorias fallidas una a una en busca del login del usuario que se bloquea y te dará el equipo o servidor donde se está bloqueando. Aparecerá información similar a la que
te adjunto.
Cualquier cosa me comentas.
Saludos
- Marcado como respuesta Pablo RubioModerator martes, 16 de abril de 2019 17:05
-
Bueno.. voy a resumir los pasos dados para la solución de este problema. Tenía un usuario (pepe.perez) dentro de mi dominio ( MIDOMINIO), al cual se le bloqueaba la cuenta de usuario sin ni siquiera introducir mal la passwd. Es un problema con el que llevo varios meses y que gracias a la colaboración de Guillermo, Jorge y Rafael he resuelto en pocos días.
Al principio los bloqueos eran una vez al mes o así, pero últimamente era dos o tres diarios.
Borré credenciales en el ordenador, comprobé que su móvil no se conectaba a redes corporativas, reinstalé el ordenador, comprobé DNSs.. pero nada.. finalmente instalé el ejecutable Lockoutstaous.exe
https://www.microsoft.com/en-us/download/details.aspx?id=18465
1.- Pulsamos en FILE--SELECT TARGET.. se nos abre la ventana de abajo
2.- En TARGET USER NAME ponemos el nombre del usuario en cuestion
en TARGET DOMAIN NAME ponemos nuestro dominio
Ahora nos aparecerá si el usuario está bloqueado o no, y en caso de estarlo desde que dominio, y además la fecha y la hora. Con esos datos nos vamos al visor de eventos del DC en cuestión.
Como se ve en la captura de abajo esta vez era el DC02 el que lo bloqueaba, pero a veces aparecía un controlador y a veces otro. Con esa fecha y hora 14/02/2019 09:18:22 me voy al visor de eventos del DC02. Véase que en USER STATE está bloqueado (Locked).
Una vez en el visor de eventos del DC02 entro en SEGURIDAD--FILTRAR REGISTRO ACTUAL
Luego en el campo REGISTRADO selecciono el intervalo personalizado y escribo la fecha y hora del bloqueo dado anteriormente por el lockoutstatus. Aquí está en inglés pero es lo mismo
Me aparecen ahora las auditorías fallidas y busco la del usuario que me da problemas, pepe.perez.
En el apartado INFORMACIÓN DE RED, veo una IP que puede ser la que esté originando el problema, en concreto es una 10.102... cuando en mi sistema todas son 10.100.. por lo que entiendo que debe ser un servidor alojado en UK, mi dominio y el de UK están conectados.
Resultó ser un servidor de SAGE al que se conectaban los financieros de manera remota y que ya no usan.
Entrando en ese servidor con el ADMINISTRADOR DE TAREAS, en la pestaña USUARIOS , vi que había una sesión de ese usuario abierta y la cerré con Botón Derecho DESCONECTAR
Esa sesión abierta era la que causaba los problemas.
Un saludo y gracias a los tres de nuevo.
- Propuesto como respuesta Rafael Galante Gutiérrez lunes, 18 de febrero de 2019 14:02
- Marcado como respuesta Pablo RubioModerator martes, 16 de abril de 2019 17:25
Todas las respuestas
-
Buenas Tronis,
Los bloqueos ocurre porque tiene una contraseña antigua almacenada en algún servicio o aplicación.
Lo primero que tienes que analizar si un usuario se bloquea constantemente:
- ¿Usa dispositivo móvil? Si es así, comprobar que no tenga sus credenciales de Windows configurada en alguna aplicación móvil corporativa o en la aplicación correo electrónico.
- Comprobar si en el PC usa alguna aplicación que pueda tener las credenciales de Windows. A su vezcomprobar el almacén de credenciales de Windows y eliminar las credenciales que existan.
- ¿Se conecta a más de un equipo? Comprobar el paso número 2. en los equipos que use.
Si tras verificar los pasos anteriores no se soluciona tendrías que instalar la herramienta que ha comentado Nicolás Ortiz Luengo, LockoutStatuos.exe.
https://www.microsoft.com/en-us/download/details.aspx?id=18465
Una vez instalado sigue los siguientes pasos, ejecuta la herramienta:
- Selecciona File > Select Target. En target user name debes escribir el login del usuario que se bloquea y en target domain name el nombre del dominio. Escribe los datos y presiona
OK.
- En el campo Lockout Time aparece la hora en la que se bloqueó la cuenta y en el campo Orig lock el origen del bloqueo o el servidor donde se originó. Debes tener en cuenta la fecha, hora y servidor donde se bloqueó.
- A continuación abre el visor de eventos de Windows. Sobre Visor de eventos (local) haz clic con el botón derecho del ratón y selecciona Conectarse a otro equipo. Escribe el nombre del equipo y pulsar aceptar.
- Una vez conectado al servidor debes irte a Registro de Windows > Seguridad. Arriba en la barra de herramientas selecciona Acción > filtrar registro actual.
- En el campo registrado selecciona intervalo personalizado y escribe la fecha y hora en la que se produjo el bloqueo en De: y A:. Presiona Aceptar.
- Una vez realizado estos pasos tienes que ir viendo las auditorias fallidas una a una en busca del login del usuario que se bloquea y te dará el equipo o servidor donde se está bloqueando. Aparecerá información similar a la que
te adjunto.
Cualquier cosa me comentas.
Saludos
- Marcado como respuesta Pablo RubioModerator martes, 16 de abril de 2019 17:05
-
Hola, mientras los ingleses responden con algo, yo ejecuté el lockoutstatus utilizando el login del usuario en cuestión. pepe.perez le vamos a llamar. Una réplica del dominio lo tenemos en AWS. El caso es que parece que nuestro DC01 es el que lo bloquea.
Luego seguí los pasos dados por Rafael y esa es la información que me aparece, en la captura de más abajo. Entiendo que es seguro que lo bloquea mi dominio principal, pero no qué lo está causando.
Gracias
-
En "Computer" aparece el nombre del servidor? Si es así comprueba el almacén de credenciales o aplicaciones que puedan hacer uso de las credenciales de Windows.Hola, mientras los ingleses responden con algo, yo ejecuté el lockoutstatus utilizando el login del usuario en cuestión. pepe.perez le vamos a llamar. Una réplica del dominio lo tenemos en AWS. El caso es que parece que nuestro DC01 es el que lo bloquea.
Luego seguí los pasos dados por Rafael y esa es la información que me aparece, en la captura de más abajo. Entiendo que es seguro que lo bloquea mi dominio principal, pero no qué lo está causando.
Gracias
-
Hola, sí en computer aparece DC01 que es nuestro controlador dominio principal. He mirado en las credenciales y no hay ninguna ni de web ni de windows. Los DNS de DC01 y DC02 son ellos mismos, no hay ningún DNS externo. Volviendo a mirar el lockuout, he observado que ha pasado de 1 passwd incorrecta a 3 en poco tiempo.
Entiendo que esa credencial o lo que sea, está intentando logearse y no puede?.El usuario ahora mismo no está en la oficina y debe tener el ordenador apagado pues está en una reunión en un cliente.
-
Me contesto a mi mismo.. ip donde está presente el usuario, voy a averiguar a qué equipo pertenece esa ip, que espero me de la pista.
-
Bueno.. voy a resumir los pasos dados para la solución de este problema. Tenía un usuario (pepe.perez) dentro de mi dominio ( MIDOMINIO), al cual se le bloqueaba la cuenta de usuario sin ni siquiera introducir mal la passwd. Es un problema con el que llevo varios meses y que gracias a la colaboración de Guillermo, Jorge y Rafael he resuelto en pocos días.
Al principio los bloqueos eran una vez al mes o así, pero últimamente era dos o tres diarios.
Borré credenciales en el ordenador, comprobé que su móvil no se conectaba a redes corporativas, reinstalé el ordenador, comprobé DNSs.. pero nada.. finalmente instalé el ejecutable Lockoutstaous.exe
https://www.microsoft.com/en-us/download/details.aspx?id=18465
1.- Pulsamos en FILE--SELECT TARGET.. se nos abre la ventana de abajo
2.- En TARGET USER NAME ponemos el nombre del usuario en cuestion
en TARGET DOMAIN NAME ponemos nuestro dominio
Como se ve en la captura de abajo esta vez era el DC02 el que lo bloqueaba, pero a veces aparecía un controlador y a veces otro. Con esa fecha y hora 14/02/2019 09:18:22 me voy al visor de eventos del DC02. Véase que en USER STATE está bloqueado (Locked).
Una vez en el visor de eventos del DC02 entro en SEGURIDAD--FILTRAR REGISTRO ACTUAL
Luego en el campo REGISTRADO selecciono el intervalo personalizado y escribo la fecha y hora del bloqueo dado anteriormente por el lockoutstatus. Aquí está en inglés pero es lo mismo
Me aparecen ahora las auditorías fallidas y busco la del usuario que me da problemas, pepe.perez.
En el apartado INFORMACIÓN DE RED, veo una IP que puede ser la que esté originando el problema, en concreto es una 10.102... cuando en mi sistema todas son 10.100.. por lo que entiendo que debe ser un servidor alojado en UK, mi dominio y el de UK están conectados.
Resultó ser un servidor de SAGE al que se conectaban los financieros de manera remota y que ya no usan.
Entrando en ese servidor con el ADMINISTRADOR DE TAREAS, en la pestaña USUARIOS , vi que había una sesión de ese usuario abierta y la cerré con Botón Derecho DESCONECTAR
Esa sesión abierta era la que causaba los problemas.
Un saludo y gracias a los tres de nuevo.
- Propuesto como respuesta Rafael Galante Gutiérrez lunes, 18 de febrero de 2019 14:02
- Marcado como respuesta Pablo RubioModerator martes, 16 de abril de 2019 17:25
-
Quisiera hacer un nuevo aporte, con un error muy parecido al anterior.
Resulta que al poco tiempo de resolver este asunto de los bloqueos, me viene otro usuario exactamente con el mismo problema.. no me lo podía creer... así que volví a hacer el mismo proceso, revisé el lockoutstatus con el nombre del usuario..volví a poner la fecha en el visor de eventos.. todo exactamente igual, pero esta vez el error era el 4776 MICROSOFT_AUTHENTICATION_PACKAGE_V1_0, un error diferente pero que producía el mismo efecto, la cuenta se bloqueaba.
En este caso comprobé un comportamiento diferente al caso anterior, y era que los logeos se producían al entrar por la puerta de la oficina el usuario. En el caso anterior daba igual que estuviera o no el usuario, los logeos se producían igual, de hecho resultó ser un servidor de nuestro dominio, sin embargo ahora estaba claro que era algún dispositivo del usuario.
Le obligué a traer traer apagados su tablet, teléfono y ordenador, y observando en todo momento el loskuotstatus, encendíamos uno a uno los dispositivos. Primero el ordenador y pasados 15 minutos nada... luego el móvil y tampoco... al encender la tablet y pasados 10 minutos empezaron los logeos. Eureka era la tablet!!
Eliminé la cuenta de correo corporativa que tenía configurada, pero sigue saliendo el error.. bueno el caso es que desde que no trae la tablet todo va bien. Próximamente le diré que la traiga y empezaré a eliminar aplicaciones hasta dar con la que es, aunque me jura que son aplicaciones personales, pero alguna debe ser.
Bueno.. el asunto no me preocupa, ya que la tablet no la necesita para trabajar, cuando la vuelva a traer y averigüe la aplicación o la credencial o lo que sea que causa el error lo haré saber.
Simplemente quería resaltar que errores diferentes llegan al mismo error, pero que una buena pista es si se producen igualmente cuando el usuario no está, o si se produce cuando el usuario llega a la oficina.
Vista mi experiencia esto nos va a encaminar si es un servidor remoto, o algún ordenador olvidado en algún rincón de la oficina, o bien algún dispositivo de los que trae el usuario.
Espero ayude.
Un saludo
