Neste artigo, veremos como podemos identificar e corrigir uma experiencia muito ruim para quem administra ambiente em Domínios.
Esta ruim experiencia é quando um usuário informa que em 1 em 1 minuto ou em 5 em 5 minutos a conta é bloqueada.

Passei por esse problema e tive que realizar um troubleshooting bacana para corrigir esse questão.

Vamos lá.

Primeiramente utilizei o Visualizador de eventos afim de localizar o evento que estava sendo gerado.
No meu caso, ele informava apenas os ID dos erros.

0xc000006a - Uma tentativa inválida a sessão foi feita pelo seguinte usuário.
0xc0000234 - A conta de usuário foi automaticamente bloqueada porque muitas tentativas de logon inválidos ou alteração de senha foram solicitadas.

Altere a diretiva padrão do controlador de domínio -
Default Domain Controllers Policy

Computer Configuration\Policies\Windows Settings\Local Policies\Audit Policy


Habilite sucesso e falha nas diretivas:
  • Audit Account Login Events
  • Audit Logon Events
  • Audit System Events
  • Audit Object Access
Após habilitar as diretivas de auditoria, começamos a ter uma visão melhor da autenticação no visualizador de eventos (Security)
Este print é de uma autenticação bem sucedida.

  • Veja em Error Code: 0x0, isso quer dizer que não teve erro na autenticação, que o evento foi sucesso.
  • Logon Account: usuário que fez o logon no domínio
  • Source Workstation: Aonde foi originado a tentativa de logon
  • Computer: Computador que está recebendo e autenticando o usuário( domain controller).
  • Task Category podemos ver que tipo de evento está acontecendo no caso, validação de uma credencial

Este print indica que foi validado com sucesso.

Neste próximo print mostra a validação de autenticação inválida.

  • Veja em Error Code: 0xc000006a, (obs: também tive o erro 0xc0000234), isso quer dizer que teve erro na autenticação, que o evento foi com falha.
  • Logon Account: usuário que tentou  realizar o logon no domínio
  • Source Workstation: Aonde foi originado a tentativa de logon
  • Computer: Computador que está recebendo e tentando autenticar o usuário( domain controller).
  • Task Category podemos ver que tipo de evento está acontecendo no caso, validação de uma credencial

Com esse evento, comecei uma pesquisa pelos visualizadores de eventos e não encontrei realmente o que estava acontecendo, apenas de qual servidor estava vindo a tentativa de conexão.

Comecei utilizando o software LockoutStatus.exe para identificar qual DC estava bloqueando e se a replicação entre os DCs estavam corretas.

Account Lockout and Management Tools - http://www.microsoft.com/en-us/download/details.aspx?id=18465
Essas ferramentas auxiliam na detecção de problemas com contas.


É possível possível identificar qual DC está bloqueando e o status da conta, é possível também saber quando será bloqueado.

No meu caso, não adiantou, apenas ajudou muito essas informações, pois eu conciliava o tempo de bloqueio para obter informações dos visualizadores de eventos.

Com todas essas informações em mãos, parti para analise do arquivo NetLogon.log

Coloquei o controlador de domínio que estava validando o bloqueando a conta em modo verbose logging para o serviço de netlogon, para assim eu descobrir de onde e em qual serviço estava vindo a tentativa de logon.

Primeiro:
Abre o prompt de comando como administrador e execute o comando:
nltest /dbflag:0x2080ffff

Vai registrar todas as transações feitas no netlogon, abre o arquivo com o notepad (%windir%\debug\netlogon.log).

Nele vai encontrar as tentativas de logon que estão sendo feitas pelos usuários e deve listar cada estação de trabalho que estão executando essa solicitação de autenticação.

Após a detecção execute o comando para desligar a depuração:
nltest /dbflag:0x0



Dentro do arquivo NetLogon.log, procure pelo ID do evento, no meu caso 0xc000006a e 0xc0000234.

Conclusão: No meu caso, pude identificar que a máquina era virtual e foi setado um IP muito antigo que já foi utilizado para um outro servidor, e que no caso, possuía diretivas de grupo apontando para ele, assim fazia o bloqueio da conta.

Créditos
Este artigo foi criado originalmente por:

Thiago Guirotto de Oliveira

Senior Infrastructure Analyst

Microsoft® Certified Solutions Expert: Private Cloud

Microsoft® Certified Trainer

MTAC |Microsoft Technical Audience Contributor

MCS | MCSA | MCITP | MCTS | MCC | MCP

www.thiagoguirotto.com.br

facebook.com/thiagoguirotto

http://www.windowsstudygroup.com.br/

guirotto_tgo@hotmail.com