none
Usuario se bloquea de manera aleatoria RRS feed

  • Pregunta

  • Hola, un usuario del dominio se bloquea de vez en cuando, simplemente tengo que desbloquearlo desde AD, pero no entiendo qué pasa. Cuando deja de utilizar el ordenador se activa el salvapantallas como es habitual y cuando quiere volver a logearse, ya le aparece el mensaje "el usuario está bloqueado". No entra con su móvil ni con ningún otro dispositivo en el dominio, he mirado el visor de evento y no veo nada destacable. Alguna idea por favor?

    Gracias

    martes, 29 de enero de 2019 10:35

Respuestas

  • Buenas Tronis,

    Los bloqueos ocurre porque tiene una contraseña antigua almacenada en algún servicio o aplicación.

    Lo primero que tienes que analizar si un usuario se bloquea constantemente:

    1. ¿Usa dispositivo móvil? Si es así, comprobar que no tenga sus credenciales de Windows configurada en alguna aplicación móvil corporativa o en la aplicación correo electrónico.
    2. Comprobar si en el PC usa alguna aplicación que pueda tener las credenciales de Windows. A su vezcomprobar el almacén de credenciales de Windows y eliminar las credenciales que existan.
    3. ¿Se conecta a más de un equipo? Comprobar el paso número 2. en los equipos que use.

    Si tras verificar los pasos anteriores no se soluciona tendrías que instalar la herramienta que ha comentado Nicolás Ortiz Luengo, LockoutStatuos.exe.

    https://www.microsoft.com/en-us/download/details.aspx?id=18465

    Una vez instalado sigue los siguientes pasos, ejecuta la herramienta:

    1. Selecciona File > Select Target. En target user name debes escribir el login del usuario que se bloquea y en target domain name el nombre del dominio. Escribe los datos y presiona OK. 

    2. En el campo Lockout Time aparece la hora en la que se bloqueó la cuenta y en el campo Orig lock el origen del bloqueo o el servidor donde se originó. Debes tener en cuenta la fecha, hora y servidor donde se bloqueó.
    3. A continuación abre el visor de eventos de Windows. Sobre Visor de eventos (local) haz clic con el botón derecho del ratón y selecciona Conectarse a otro equipo. Escribe el nombre del equipo y pulsar aceptar.

    4. Una vez conectado al servidor debes irte a Registro de Windows > Seguridad. Arriba en la barra de herramientas selecciona Acción > filtrar registro actual.
    5. En el campo registrado selecciona intervalo personalizado y escribe la fecha y hora en la que se produjo el bloqueo en De: y A:. Presiona Aceptar.
    6. Una vez realizado estos pasos tienes que ir viendo las auditorias fallidas una a una en busca del login del usuario que se bloquea y te dará el equipo o servidor donde se está bloqueando. Aparecerá información similar a la que te adjunto.

    Cualquier cosa me comentas.

    Saludos

    viernes, 8 de febrero de 2019 16:43
  • Bueno.. voy a resumir los pasos dados para la solución de este problema. Tenía un usuario (pepe.perez) dentro de mi dominio ( MIDOMINIO), al cual se le bloqueaba la cuenta de usuario sin ni siquiera introducir mal la passwd. Es un problema con el que llevo varios meses y que gracias a la colaboración de Guillermo, Jorge y Rafael he resuelto en pocos días.

    Al principio los bloqueos eran una vez al mes o así, pero últimamente era dos o tres diarios.

    Borré credenciales en el ordenador, comprobé que su móvil no se conectaba a redes corporativas, reinstalé el ordenador, comprobé DNSs.. pero nada.. finalmente instalé el ejecutable  Lockoutstaous.exe

    https://www.microsoft.com/en-us/download/details.aspx?id=18465


    1.- Pulsamos en FILE--SELECT TARGET.. se nos abre la ventana de abajo

    

    2.-  En TARGET USER NAME ponemos el nombre del usuario en cuestion

          en TARGET DOMAIN NAME  ponemos nuestro dominio

    Ahora nos aparecerá si el usuario está bloqueado o no, y en caso de estarlo desde que dominio, y además la fecha y la hora. Con esos datos nos vamos al visor de eventos del DC en cuestión.

    Como se ve en la captura de abajo esta vez era el DC02 el que lo bloqueaba, pero a veces aparecía un controlador y  a veces otro. Con esa fecha y hora 14/02/2019 09:18:22 me voy al visor  de eventos del DC02. Véase que en USER STATE está bloqueado (Locked).

    Una vez en el visor de eventos del DC02 entro en SEGURIDAD--FILTRAR REGISTRO ACTUAL

    Luego en el campo REGISTRADO selecciono el intervalo personalizado y escribo la fecha y hora del bloqueo dado anteriormente por el lockoutstatus. Aquí está en inglés pero es lo mismo

    Me aparecen ahora las auditorías fallidas y busco la del usuario que me da problemas, pepe.perez.

    En el apartado INFORMACIÓN DE RED, veo una IP que puede ser la que esté originando el problema, en concreto es una 10.102... cuando en mi sistema todas son 10.100..  por lo que entiendo que debe ser un servidor alojado en UK, mi dominio y el de UK están conectados.

    Resultó ser un servidor de SAGE al que se conectaban los financieros de manera remota y que ya no usan.

    Entrando en ese servidor con el ADMINISTRADOR DE TAREAS, en la pestaña USUARIOS , vi que había una sesión de ese usuario abierta y la cerré con Botón Derecho DESCONECTAR

    Esa sesión abierta era la que causaba los problemas.

    Un saludo y gracias a los tres de nuevo.

    lunes, 18 de febrero de 2019 13:51

Todas las respuestas

  • Hola Tronis, cuando el usuario inicia sesión desde teclado normalmente se usan "cached credentials", es decir que utiliza la copia local de la contraseña en lugar de hacerlo a través de un Controlador de Dominio

    En cambio cuando se desbloquea la pantalla, sí, se tiene que hacer a través de contactar un Controlador de Dominio

    Por lo tanto ya podemos tener una causa posible

    Si no hay servicios o aplicaciones que se ejecutan con las credenciales del usario, o mapeos de discos todo da para pensar que también puede ser una incorrecta configuración de DNS en la máquina

    Revisa el siguiente enlace a ver si te ayuda

    Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer
    https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 29 de enero de 2019 11:04
    Moderador
  • Hola Guillermo muchas gracias por la pronta respuesta. Consulté el enlace y revisé el evento 4740 en los dos dominios, ( no instalé el software), pero no aparece nada referente a ese evento en ninguno de los dos. Esta misma mañana hace un par de horas, se lo he tenido que desbloquear. Supongo debía tener un evento con ese número, pero no aparece nada.

    ¿Tal vez deba esperar otro bloqueo y consultar el evento en los controladores antes de desbloquearlo?

    Gracias

    martes, 29 de enero de 2019 11:47
  • Se me olvidó decir que el servidor es W2012  R2 y el usuario W10 1809, aunque ocurría con versiones anteriores de W10.
    martes, 29 de enero de 2019 11:50
  • Muy raro que no aparezca ese número de evento si realmente se bloquea la cuenta

    ¿Estás seguro que es bloqueo? :) ¿qué mensaje da textual?

    Recuerda que es en el log "Security" en el Controlador de Dominio que tenga el rol "Emulador PDC"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 29 de enero de 2019 16:10
    Moderador
  • Hola muchas gracias por la ayuda, el mensaje dice.." la cuenta a que se hace referencia está bloqueada y no se puede utilizar", le acaba de pasar a otro usuario. Dejan de utilizar un tiempo el ordenador y cuando vuelve,al pulsar ctrl+alt+sup, ya ven el mensaje, sin ni siquiera poner la contraseña de dominio una sola vez.

    Antes de desbloquearlo, he mirado en el log "security" y tampoco aparece nada del evento 4740.

    Ocurre de manera muy aleatoria, a lo mejor una vez a la semana o cada dos semanas.


    miércoles, 30 de enero de 2019 10:43
  • Investiguemos más :)

    El evento 4740 hay que buscarlo en el Controlador de Domino con la función "Emulador PDC" ¿lo has hecho así?

    Por otra parte, en la máquina con el problema busca los siguentes eventos y mira a ver si hay otro sospechoso cercano. Los eventos relacionados a la activación o desactivación del protector de pantalla y bloqueo de máquina están entre el 4800 y 4803. No recuerdo en cuál de los 3 logs, revisa los tres por las dudas

    Buscando info en la web, hay quien nombra que es debido a una sesión de Escritorio Remoto que ha quedado desconectada ¿puede ser el caso?

    Y por último otro dato más ¿qué DNSs tiene configurada esa máquina?

    Y todavía más, pasa sólo en esa máquina sin importar el usuario, o al mismo usuario en cualquier máquina?

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 30 de enero de 2019 16:15
    Moderador
  • Hola, 4740 lo busco en el DC01 que es el master y tiene el emulador PDC, pero como no encuentro nada miro también en el otro, tengo dos controladores solamente, no me lleva mucho tiempo.

    Voy a repasar los eventos que me has dicho en la máquina en  cuanto pueda.

    Buscaré también a ver si hay enganchada una sesión de escritorio remoto.

    Los DNSs de la máquina son los mismos que el resto de máquinas al estar en el dominio, lo comprobado en varias máquinas con un ipconfig /all.

    Para colmo hoy se ha quedado bloqueado también y después de desbloquearlo, aparece el escritorio vacío y le pide los credenciales de red, aunque se los pongas, no hace nada y hay que reiniciar la máquina una o dos veces para que arranque correctamente.

    Una vez me pasó que desde su máquina no podía entrar en un servidor remoto y yo con sus credenciales en otra máquina sí que pude. Otras veces he probado a hacer lo mismo y no he podido en ninguna de las dos sin antes desbloquear.

    La máquina la he reinstalado con nuestra imagen desde red varias veces, es una imagen limpia sin aplicaciones.

    Muchas gracias por tu tiempo, voy a mirar primero si hay sesiones abiertas en los servidores.

    jueves, 31 de enero de 2019 9:46
  • De momento  no había sesiones abiertas en los servidores remotos.

    Lo que hice fué borrar todas las contraseñas que tenía almacenadas en su equipo, (en panel de control--administrador de credenciales) también he dejado  claro que de los servidores externos se sale con log out no pulsando en la cruz. Vamos a ver qué tal....

    No he podido mirar aún los eventos 4800...4803 

    viernes, 1 de febrero de 2019 8:52
  • Hola Guillermo, el error sigue ocurriendo da igual si entro con otro ordenador diferente. Pero hoy al intentar entrar en un servidor remoto, localizado en UK, con su usuario y contraseña del dominio, ha aparecido un mensaje que decía algo parecido a esto " ha intentado varias veces acceder a su cuenta de manera errónea, su cuenta se ha bloqueado, espere...o contacte con el administrador.." lo que me hace pensar si será el DC principal de las oficinas de UK el que lo está bloqueando, por eso he pedido revisen allí el evento 4740, a ver si les aparece algo. Los dominios de España y UK están interconectados.


    Un saludo

    jueves, 7 de febrero de 2019 11:55
  • Hola, buenos días.

    En dominios con muchas maquinas, se complica encontrar donde un usuario dejo una conexión realizada y luego cambio la clave. Una de las causas que genera los bloqueos. En estos caso suelo utilizar este script como para acortar la búsquedas.

    https://gallery.technet.microsoft.com/scriptcenter/Get-All-AD-Users-Logon-9e721a89

    Tomado esta opción :

    .\Get_AD_Users_Logon_History.ps1 | Export-Csv Users_Loggedon_History.csv

    Que te genera un listado con las maquina del dominio y el usuario que esta identificado en ella.

    Muchas saludos, suerte.


    Saludos Jorge Argentina

    jueves, 7 de febrero de 2019 14:14
  • Hola Tronis, revisa lo que ha puesto Cavallin Jorge que es interesante para ver de encontrar la máquina desde la que se produce

    Dices:
    ------------
    Una vez me pasó que desde su máquina no podía entrar en un servidor remoto y yo con sus credenciales en otra máquina sí que pude.
    -------------
    Acá hay una pista para pensar que hay un problema de replicación entre los Controladores de Dominio Verifica este tema

    Active Directory: Verificar la Replicación de Controladores de Dominio (Repost) | WindowServer
    https://windowserver.wordpress.com/2015/07/03/active-directory-verificar-la-replicacin-de-controladores-de-dominio-repost/ 

    Dices que instalas desde una imagen ¿está "sysprepeada"? esto es importante

    Si aparece un mensaje de cuenta bloqueada, es porque hay implementada una directiva de bloqueo de contraseñas, ya sea en el Dominio, o en el servidor si inicia con una cuenta local de este último

    Y último pero no menos importante ¿Estás seguro que la máquina tiene configurado para usar como DNS únicamente a el o los Controladores de Dominio con DNS y ningún otro ni siquiera como alternativo? Ni al Router ni a uno del ISP, ni público, ni ni ni :) Vale para todas las máquinas del Dominio, incluyendo los Controladores de Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 7 de febrero de 2019 16:26
    Moderador
  • Buenas Tronis,

    Los bloqueos ocurre porque tiene una contraseña antigua almacenada en algún servicio o aplicación.

    Lo primero que tienes que analizar si un usuario se bloquea constantemente:

    1. ¿Usa dispositivo móvil? Si es así, comprobar que no tenga sus credenciales de Windows configurada en alguna aplicación móvil corporativa o en la aplicación correo electrónico.
    2. Comprobar si en el PC usa alguna aplicación que pueda tener las credenciales de Windows. A su vezcomprobar el almacén de credenciales de Windows y eliminar las credenciales que existan.
    3. ¿Se conecta a más de un equipo? Comprobar el paso número 2. en los equipos que use.

    Si tras verificar los pasos anteriores no se soluciona tendrías que instalar la herramienta que ha comentado Nicolás Ortiz Luengo, LockoutStatuos.exe.

    https://www.microsoft.com/en-us/download/details.aspx?id=18465

    Una vez instalado sigue los siguientes pasos, ejecuta la herramienta:

    1. Selecciona File > Select Target. En target user name debes escribir el login del usuario que se bloquea y en target domain name el nombre del dominio. Escribe los datos y presiona OK. 

    2. En el campo Lockout Time aparece la hora en la que se bloqueó la cuenta y en el campo Orig lock el origen del bloqueo o el servidor donde se originó. Debes tener en cuenta la fecha, hora y servidor donde se bloqueó.
    3. A continuación abre el visor de eventos de Windows. Sobre Visor de eventos (local) haz clic con el botón derecho del ratón y selecciona Conectarse a otro equipo. Escribe el nombre del equipo y pulsar aceptar.

    4. Una vez conectado al servidor debes irte a Registro de Windows > Seguridad. Arriba en la barra de herramientas selecciona Acción > filtrar registro actual.
    5. En el campo registrado selecciona intervalo personalizado y escribe la fecha y hora en la que se produjo el bloqueo en De: y A:. Presiona Aceptar.
    6. Una vez realizado estos pasos tienes que ir viendo las auditorias fallidas una a una en busca del login del usuario que se bloquea y te dará el equipo o servidor donde se está bloqueando. Aparecerá información similar a la que te adjunto.

    Cualquier cosa me comentas.

    Saludos

    viernes, 8 de febrero de 2019 16:43
  • Muchísimas gracias a los tres, me pongo en contacto con los ingleses para que revisen allí sus DC, estoy seguro el fallo está allí y yo no tengo acceso. Revisaré también el script.  Tan pronto tenga noticias os cuento, pero al estar los ingleses de por  medio será lento. Un saludo 
    lunes, 11 de febrero de 2019 12:19
  • Hola, mientras los ingleses responden con algo, yo ejecuté el lockoutstatus utilizando el login del usuario en cuestión. pepe.perez le vamos a llamar. Una réplica del dominio lo tenemos en AWS. El caso es que parece que nuestro DC01 es el que lo bloquea.

    Luego seguí los pasos dados por Rafael y esa es la información que me aparece, en la captura de más abajo. Entiendo que es seguro que lo bloquea mi dominio principal, pero no qué lo está causando.

    Gracias

    martes, 12 de febrero de 2019 16:36
  • Hola, mientras los ingleses responden con algo, yo ejecuté el lockoutstatus utilizando el login del usuario en cuestión. pepe.perez le vamos a llamar. Una réplica del dominio lo tenemos en AWS. El caso es que parece que nuestro DC01 es el que lo bloquea.

    Luego seguí los pasos dados por Rafael y esa es la información que me aparece, en la captura de más abajo. Entiendo que es seguro que lo bloquea mi dominio principal, pero no qué lo está causando.

    Gracias

    En "Computer" aparece el nombre del servidor? Si es así comprueba el almacén de credenciales o aplicaciones que puedan hacer uso de las credenciales de Windows.
    martes, 12 de febrero de 2019 16:52
  • Hola, sí en computer aparece DC01 que es nuestro controlador dominio principal. He mirado en las credenciales y no hay ninguna ni de web ni de windows. Los DNS de DC01 y DC02 son ellos mismos, no hay ningún DNS externo.   Volviendo a mirar el lockuout, he observado que ha pasado de 1 passwd incorrecta a 3 en poco tiempo.

    Entiendo que esa credencial o lo que sea, está intentando logearse y no puede?.El usuario ahora mismo no está en la oficina y debe tener el ordenador apagado pues está en una reunión en un cliente.

    miércoles, 13 de febrero de 2019 11:13
  • Que servicios ejecutáis en el controlador de dominio, ¿Servidor de correo? por ejemplo. Para darte más amplitud, si tuviese un servidor de correos, podría estar el problema en su teléfono, en su equipo corporativo o en cualquier dispositivo donde haya configurado sus credenciales. ¿Es servidor de ficheros? El problema puede estar en las unidades compartidas que tenga mapeada, se haya configurado a mano alguna de ellas y se haya quedado almacenada una clave antigua.

    Los intentos de password incorrectos, has analizado cuando dejan de producirse o cuando comienzan? Esto es importante también te puede dar pista del servicio donde se esté produciendo el bloqueo. ¿Comienza cuando el usuario comienza su jornada de trabajo?

    Otra cosa más, te has conectado al visor de eventos del servidor que te da el bloqueo del usuario? Si no es así hazlo y busca en los eventos, debe aparecer el servicio que genera dicho bloqueo. He realizado estás operaciones en varias ocasiones y siempre he logrado encontrar el origen, ya sea en un servicio o equipo. Debes pillar a tiempo el bloqueo para que te muestre información el visor de eventos. Por mi experiencia, 1h después de producirse el bloqueo no podía filtrar la hora en la que se produjo el bloqueo porque ya esos eventos estaban borrados.
    miércoles, 13 de febrero de 2019 12:37
  • Hola, los servicios que se ejecutan en los DC son los típicos de DNS, DHCP, AD y poco más,. no hay servidor de correo o skype for bussiness lo hacemos a través de O365. El servidor de ficheros está en otra máquina virtual diferente. Efectivamente los eventos de bloqueo de ayer ya no aparecen, ahora acabo de ver los de esta mañana y el usuario ni ha llegado a la oficina, ni se ha conectado vía vpn, sin embargo lleva 2 intentos y además en el DC02, hasta ahora todos eran en el DC01.

    Una pregunta.. en la captura de abajo aparece una ip de un equipo cliente que ni siquiera está en mi red, ¿me dice ahí el equipo que provoca el bloqueo?. 


    Gracias


    • Editado Tronis jueves, 14 de febrero de 2019 9:40
    jueves, 14 de febrero de 2019 9:27
  • Me contesto a mi mismo.. ip donde está presente el usuario, voy a averiguar a qué equipo pertenece esa ip, que espero me de la pista.

    jueves, 14 de febrero de 2019 9:33
  • Hola de nuevo, esa ip que no es de mi red, corresponde a la red de la empresa en UK, les dije a los ingleses que miraran a qué equipo corresponde, y ha resultado ser un servidor al que se conectaban de manera remota los financieros hace tiempo. Por lo visto tenía una sesión abierta de ese usuario y la han cerrado.

    Parece que hemos dado con el problema, no lanzo aún las campanas al vuelo pero tiene pinta.

    El Lunes próximo si todo sigue igual lo daré por resuelto y escribiré un "paso a paso" de cómo se logró subsanar el fallo.

    En cualquier caso agradecer, como no puede ser de otra manera, a Guillermo, Jorge y Rafael por compartir parte de sus conocimientos en este asunto.

    Un saludo

     

    jueves, 14 de febrero de 2019 14:21
  • Perfecto Tronis, me alegro mucho.

    Saludos

    jueves, 14 de febrero de 2019 14:22
  • Bueno.. voy a resumir los pasos dados para la solución de este problema. Tenía un usuario (pepe.perez) dentro de mi dominio ( MIDOMINIO), al cual se le bloqueaba la cuenta de usuario sin ni siquiera introducir mal la passwd. Es un problema con el que llevo varios meses y que gracias a la colaboración de Guillermo, Jorge y Rafael he resuelto en pocos días.

    Al principio los bloqueos eran una vez al mes o así, pero últimamente era dos o tres diarios.

    Borré credenciales en el ordenador, comprobé que su móvil no se conectaba a redes corporativas, reinstalé el ordenador, comprobé DNSs.. pero nada.. finalmente instalé el ejecutable  Lockoutstaous.exe

    https://www.microsoft.com/en-us/download/details.aspx?id=18465


    1.- Pulsamos en FILE--SELECT TARGET.. se nos abre la ventana de abajo

    

    2.-  En TARGET USER NAME ponemos el nombre del usuario en cuestion

          en TARGET DOMAIN NAME  ponemos nuestro dominio

    Ahora nos aparecerá si el usuario está bloqueado o no, y en caso de estarlo desde que dominio, y además la fecha y la hora. Con esos datos nos vamos al visor de eventos del DC en cuestión.

    Como se ve en la captura de abajo esta vez era el DC02 el que lo bloqueaba, pero a veces aparecía un controlador y  a veces otro. Con esa fecha y hora 14/02/2019 09:18:22 me voy al visor  de eventos del DC02. Véase que en USER STATE está bloqueado (Locked).

    Una vez en el visor de eventos del DC02 entro en SEGURIDAD--FILTRAR REGISTRO ACTUAL

    Luego en el campo REGISTRADO selecciono el intervalo personalizado y escribo la fecha y hora del bloqueo dado anteriormente por el lockoutstatus. Aquí está en inglés pero es lo mismo

    Me aparecen ahora las auditorías fallidas y busco la del usuario que me da problemas, pepe.perez.

    En el apartado INFORMACIÓN DE RED, veo una IP que puede ser la que esté originando el problema, en concreto es una 10.102... cuando en mi sistema todas son 10.100..  por lo que entiendo que debe ser un servidor alojado en UK, mi dominio y el de UK están conectados.

    Resultó ser un servidor de SAGE al que se conectaban los financieros de manera remota y que ya no usan.

    Entrando en ese servidor con el ADMINISTRADOR DE TAREAS, en la pestaña USUARIOS , vi que había una sesión de ese usuario abierta y la cerré con Botón Derecho DESCONECTAR

    Esa sesión abierta era la que causaba los problemas.

    Un saludo y gracias a los tres de nuevo.

    lunes, 18 de febrero de 2019 13:51
  • Me parece genial que se haya resuelto.

    Gracias por compartir la solución.

    Saludos

    lunes, 18 de febrero de 2019 14:02
  • Quisiera hacer un nuevo aporte, con un error muy parecido al anterior.

    Resulta que al poco tiempo de resolver este asunto de los bloqueos, me viene otro usuario exactamente con el mismo problema.. no me lo podía creer... así que volví a hacer el mismo proceso, revisé el lockoutstatus con el nombre del usuario..volví a poner la fecha en el visor de eventos.. todo exactamente igual, pero esta vez el error era el 4776  MICROSOFT_AUTHENTICATION_PACKAGE_V1_0, un error diferente pero que producía el mismo efecto, la cuenta se bloqueaba. 

    En este caso comprobé un comportamiento diferente al caso anterior, y era que los logeos se producían al entrar por la puerta de la oficina el usuario. En el caso anterior daba igual que estuviera o no el usuario, los logeos se producían igual, de hecho resultó ser un servidor de nuestro dominio, sin embargo ahora estaba claro que era algún dispositivo del usuario. 

    Le obligué a traer traer apagados su tablet, teléfono y ordenador, y observando en todo momento el loskuotstatus, encendíamos uno a uno los dispositivos. Primero el ordenador y pasados 15 minutos nada... luego el móvil y tampoco... al encender la tablet y pasados 10 minutos empezaron los logeos. Eureka era la tablet!!

    Eliminé la cuenta de correo corporativa que tenía configurada,  pero sigue saliendo el error.. bueno el caso es que desde que no trae la tablet todo va bien. Próximamente le diré que la traiga y empezaré a eliminar aplicaciones hasta dar con la que es, aunque me jura que son aplicaciones personales, pero alguna debe ser.

    Bueno.. el asunto no me preocupa, ya que la tablet no la necesita para trabajar, cuando la vuelva a traer y averigüe  la aplicación o la credencial o lo que sea que causa el error lo haré saber.

    Simplemente quería resaltar que errores diferentes llegan al mismo error, pero que una buena pista es si se producen igualmente  cuando el usuario no está,  o si se produce cuando el usuario llega a la oficina.

    Vista mi experiencia esto nos va a encaminar si es un servidor remoto, o algún ordenador olvidado en algún rincón de la oficina, o bien algún dispositivo de los que trae el usuario.

    Espero ayude.

    Un saludo 

    lunes, 4 de marzo de 2019 11:56
  • Caso resuelto... la tablet que traía el usuario intentaba conectarse nada más encenderla, a la red corporativa y claro no podía. Le he dado a OLVIDAR ESTA WIFI, ya que es de Apple, y seleccionar por defecto una no corporativa. Ya no da falsos logeos.

    Un saludo

    miércoles, 6 de marzo de 2019 14:38