none
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 - mi blocca un account del dominio. RRS feed

  • Domanda

  • Ciao a tutti (son tornato!).

     Ho un problemuccio con un PC del dominio. Vorrei evitare di rifarlo, se possibile, altrimenti mi rimboccherò le maniche e... pazienza.

    Ogni tanto si blocca l'account dell'utente X. Inspiegabilmente (anche perchè X può essere al computer come no, mentre succede). Allora:

     

    1. Controllo sul PC che non ci sia stoccaggio di credenziali, attività schedulate o altro che utilizza delle credenziali salvate...
    2. Rifaccio l'account dell'utente, dapprima usando USMT, poi resettando tutto e ricopiando manualmente i suoi files da un backup.
    3. vado sul DC ed indago sugli eventi che bloccano. Trovo quanto segue:

     

    ############################ EVENTO #################################


    Tipo evento:    Operazioni non riuscite
    Origine evento:    Security
    Categoria evento:    Accesso account
    ID evento:    680
    Data:        03/10/2011
    Ora:        11.43.19
    Utente:        NT AUTHORITY\SYSTEM
    Computer:    AD01
    Descrizione:
    Tentativo di accesso di:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Account di accesso:    X (NOME DELL'UTENTE)
     Workstation di origine:    Y (NOME DEL COMPUTER DELL'UTENTE)
     Codice di errore:    0xC0000234


    Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

    ###################################################################

     

    .... A questo punto provo a farlo accedere sbagliando la PW APPOSTA, mentre controllo il registro eventi di protezione del server DC.

    Quando sbaglia dalla tastiera, l'evento è:

    ############################ EVENTO #################################


    Tipo evento:    Operazioni non riuscite
    Origine evento:    Security
    Categoria evento:    Accesso account
    ID evento:    675
    Data:        03/10/2011
    Ora:        11.57.34
    Utente:        NT AUTHORITY\SYSTEM
    Computer:    AD01
    Descrizione:
    Preautenticazione non riuscita:
         Nome utente:    AndreaC
         ID utente:    NOMEDOMINIO\X (NOME UTENTE)
         Nome servizio:    krbtgt/DASITALIA
         Tipo preautenticazione:    0x2
         Codice errore:    0x18
         Indirizzo client:    10.36.40.5


    Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

    ###################################################################

     

    ... allora incappo in:
    http://support.microsoft.com/kb/305822

     

    Ma ho la schermata utente normale, come tutti gli altri... e non ho nessun cambio rapido utente...
    inoltre parla di disattivare ilcontrollo di protezione, chiaramente sul computer. Lì non è attivo, mentre sul DC non lo disabilito, chiaramente.

     

    Cosa può essere?

    Grazie in anticipo.

    Diego.


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 3 ottobre 2011 10:55

Risposte

  • Ciao Diego (bentornato),

    Ho fatto un po' di ricerche ed effettivamente le cause degli eventi sopra sono differenti per ogni singolo scenario (un esempio veloce in questo thread: security event id 680 Account Lockout).

    Posso consigliarti la lettura di questo blog post: Troubleshooting account lockout the PSS way.

    ed aggiungo che per troubleshooting piu' approfonditi, ci sono alcuni strumenti che potrebbero tornarti utili. Nel blog post sopra viene riferito il debug logging per il servizio Net Logon, ma forse vale dare un'occhiata anche a questo (personalmente, non l'ho mai usato): Account Lockout Status.

    Valuterei anche la presenza di qualche malware/ virus che invia richieste di logon a quella macchina (per esempio, Conficker): Il computer è infettato da malware, come devo procedere?

    Spero che possa darti qualche spunto, grazie di tenerci aggiornati.  


    Anca Popa Follow ForumTechNetIt on Twitter

    Come inserire immagini nei post

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    • Proposto come risposta Alvise CMVP giovedì 20 ottobre 2011 16:45
    • Contrassegnato come risposta Diego Castelli lunedì 7 novembre 2011 17:12
    martedì 4 ottobre 2011 12:04

Tutte le risposte

  • No, davvero nessuno ha qualche idea.

     

     


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 3 ottobre 2011 17:11
  • Ciao Diego (bentornato),

    Ho fatto un po' di ricerche ed effettivamente le cause degli eventi sopra sono differenti per ogni singolo scenario (un esempio veloce in questo thread: security event id 680 Account Lockout).

    Posso consigliarti la lettura di questo blog post: Troubleshooting account lockout the PSS way.

    ed aggiungo che per troubleshooting piu' approfonditi, ci sono alcuni strumenti che potrebbero tornarti utili. Nel blog post sopra viene riferito il debug logging per il servizio Net Logon, ma forse vale dare un'occhiata anche a questo (personalmente, non l'ho mai usato): Account Lockout Status.

    Valuterei anche la presenza di qualche malware/ virus che invia richieste di logon a quella macchina (per esempio, Conficker): Il computer è infettato da malware, come devo procedere?

    Spero che possa darti qualche spunto, grazie di tenerci aggiornati.  


    Anca Popa Follow ForumTechNetIt on Twitter

    Come inserire immagini nei post

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    • Proposto come risposta Alvise CMVP giovedì 20 ottobre 2011 16:45
    • Contrassegnato come risposta Diego Castelli lunedì 7 novembre 2011 17:12
    martedì 4 ottobre 2011 12:04