Hola, es mi primer POST y lo hago, ya que teniamos un problema bastante fuerte con el bloqueo de las cuentas de usuario del Directorio Activo en mi empresa, estas se bloqueaban constantemente, y encontré la solución y la comparto con ustedes,
Causas de un usuario de Active Directory que se bloquea automáticamente en la red:
◦Virus
◦Una tarea programada que quedó con credenciales del usuario
◦Un Perfmon (performance monitor) corriendo con credenciales del usuario
◦Alguna aplicacion (antivirus, firewall) que utilice credenciales para salir a Internet para actualizarse
◦Una unidad de red mapeada con credenciales antiguas
◦Algun servicio que este ejecutandose con el usuario en cuestión
◦Las politicas del dominio (GPO) tienen un umbral de bloqueode cuentas por password fallidos muy bajo
El set de herramientas imprescindibles para trazar un diagnóstico y resolver el bloqueo de cuentas de usuario en Active Directory es Account Lockout tools
Descargala desde este enlace: http://www.microsoft.com/downloads/details.aspx?familyid=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en
Account Lockout tools tiene muchas mas herramientas que pueden ayudarte a dianosticar el problema de bloqueo de cuentas.
AcctInfo.dll
Agrega una solapa adicional con informacion sobre los logueos en las propiedades del usuario en la consola de Active Directory Users and Computers
ALockout.dll
Esta herramienta crea un archivo de log que puede ayudar a diagnosticar problemas de logueo.
Extrae los archivos dentro de ALockout.zip (Windows 2000) o AlockoutXP.zip (Windows XP) y copialos en la computadora que origina los bloqueos. Copia ALockout.dll en la carpeta System32 y haz doble click en Appinit.reg para registrar la DLL.
Reinicia la computadora y cuando se bloquee la cuenta nuevamente, puedes revisar el archivo de log en %WinDir%debugALockout.txt para diagnosticar.
Debes conocer algo sobre logging en netlogon para interpretarlo!
AloInfo.exe
Para desplegar el password age de cuentas de usuario. Asi puedes concluir que cuentas estan proximas a expirar y actuar en forma proactiva.
Para usar esta herramienta copiala en una ruta del sistema en un domain controller y ejecutala desde una consola de sistema
Ejemplo:
C:>aloinfo /expires /server:tuservidor
Pero lo mas interesante es, quizas, la posibilidad de listar las credenciales de todos los drives mapeados de un equipo.
Ejemplo:
C:>aloinfo /stored /server:tuservidor
EventCombMT.exe
Para centralizar logs de eventos de multiples computadoras en una sola ubicacion y comparar.
NLParse.exe
Usado para parsear e interpretar archivos netlogon. Por ejemplo, para encontrar codigos de estado relacionados a cuentas que se bloquean.
EnableKerbLog.vbs
Usado para habilitar el logging de kerberos en multiples computadoras
Guia rápida de troubleshooting para bloqueo de cuentas en la red de Windows:
◦Ejecutar LockoutStatus.exe, indicar credenciales del usuario y visualizar en que domain controller se está bloqueando (notar que casi siempre son dos: el DC propiamente dicho y el global catalog que recibió la réplica del estado)
◦Desde la misma herramienta, click derecho y abrir el visor de eventos de este DC ( o bien, abrirlo desde el DC o con alguna mmc cargando el snap in del event viewer)
◦En el log de seguridad del DC, individualizar el evento (por la hora exacta) de bloqueo
◦Determinar la IP o nombre de PC origen del mismo
◦Trabajar sobre el origen:
•Busca servicios que esten corriendo con ese usuario
•Busca unidades de red, desmapealas por un tiempo para ver que sucede
•Revisa el log del antivirus, realiza un scan completo
•Si se trata de XP, limpia las credenciales cacheadas (http://support.microsoft.com/kb/306992)
•Si se trata de un servidor, examina en la registry por el nombre de usuario. La llave en donde se encuentre puede darte la pauta de que aplicacion puede estar usando esas credenciales
SALUDOS, con esto empiezo a devolver un poco de lo que Taringa me ha dado...
Causas de un usuario de Active Directory que se bloquea automáticamente en la red:
◦Virus
◦Una tarea programada que quedó con credenciales del usuario
◦Un Perfmon (performance monitor) corriendo con credenciales del usuario
◦Alguna aplicacion (antivirus, firewall) que utilice credenciales para salir a Internet para actualizarse
◦Una unidad de red mapeada con credenciales antiguas
◦Algun servicio que este ejecutandose con el usuario en cuestión
◦Las politicas del dominio (GPO) tienen un umbral de bloqueode cuentas por password fallidos muy bajo
El set de herramientas imprescindibles para trazar un diagnóstico y resolver el bloqueo de cuentas de usuario en Active Directory es Account Lockout tools
Descargala desde este enlace: http://www.microsoft.com/downloads/details.aspx?familyid=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en
Account Lockout tools tiene muchas mas herramientas que pueden ayudarte a dianosticar el problema de bloqueo de cuentas.
AcctInfo.dll
Agrega una solapa adicional con informacion sobre los logueos en las propiedades del usuario en la consola de Active Directory Users and Computers
ALockout.dll
Esta herramienta crea un archivo de log que puede ayudar a diagnosticar problemas de logueo.
Extrae los archivos dentro de ALockout.zip (Windows 2000) o AlockoutXP.zip (Windows XP) y copialos en la computadora que origina los bloqueos. Copia ALockout.dll en la carpeta System32 y haz doble click en Appinit.reg para registrar la DLL.
Reinicia la computadora y cuando se bloquee la cuenta nuevamente, puedes revisar el archivo de log en %WinDir%debugALockout.txt para diagnosticar.
Debes conocer algo sobre logging en netlogon para interpretarlo!
AloInfo.exe
Para desplegar el password age de cuentas de usuario. Asi puedes concluir que cuentas estan proximas a expirar y actuar en forma proactiva.
Para usar esta herramienta copiala en una ruta del sistema en un domain controller y ejecutala desde una consola de sistema
Ejemplo:
C:>aloinfo /expires /server:tuservidor
Pero lo mas interesante es, quizas, la posibilidad de listar las credenciales de todos los drives mapeados de un equipo.
Ejemplo:
C:>aloinfo /stored /server:tuservidor
EventCombMT.exe
Para centralizar logs de eventos de multiples computadoras en una sola ubicacion y comparar.
NLParse.exe
Usado para parsear e interpretar archivos netlogon. Por ejemplo, para encontrar codigos de estado relacionados a cuentas que se bloquean.
EnableKerbLog.vbs
Usado para habilitar el logging de kerberos en multiples computadoras
Guia rápida de troubleshooting para bloqueo de cuentas en la red de Windows:
◦Ejecutar LockoutStatus.exe, indicar credenciales del usuario y visualizar en que domain controller se está bloqueando (notar que casi siempre son dos: el DC propiamente dicho y el global catalog que recibió la réplica del estado)
◦Desde la misma herramienta, click derecho y abrir el visor de eventos de este DC ( o bien, abrirlo desde el DC o con alguna mmc cargando el snap in del event viewer)
◦En el log de seguridad del DC, individualizar el evento (por la hora exacta) de bloqueo
◦Determinar la IP o nombre de PC origen del mismo
◦Trabajar sobre el origen:
•Busca servicios que esten corriendo con ese usuario
•Busca unidades de red, desmapealas por un tiempo para ver que sucede
•Revisa el log del antivirus, realiza un scan completo
•Si se trata de XP, limpia las credenciales cacheadas (http://support.microsoft.com/kb/306992)
•Si se trata de un servidor, examina en la registry por el nombre de usuario. La llave en donde se encuentre puede darte la pauta de que aplicacion puede estar usando esas credenciales
SALUDOS, con esto empiezo a devolver un poco de lo que Taringa me ha dado...