Cuando en un ambiente de Dominio Active Directory se implementa una directiva de bloqueo de cuentas, suele suceder que alguna cuenta de usuario se bloquea sin que el usuario haya puesto mal la contraseña al iniciar sesión
Los motivos suelen ser variados, aunque generalmente se deben a que el usuario cambió su contraseña, pero quedaron conexiones de red que estaban hechas recordando la contraseña anterio. O inclusive a veces se debe a que hay servicios que se ejectuan con la cuenta de usuario
Cuando esto sucede es importante identificar la causa, y para eso debemos buscar el evento de seguridad que se genera cuando se bloquea la cuenta, para poder identificar desde qué máquina cliente se produjo el bloqueo
Si en la red hubiera un único Controlador de Dominio el tema sería muy fácil ya que es la única ubicación donde se generará el evento, pero si como es habitual existen más de un Controlador de Dominio, la búsqueda del evento hay que hacerla en cada uno de ellos
Si son pocos no tendremos problemas, pero si son varios y queremos ahorrar tiempo hay una “vieja utilidad” del Kit de Recursos de Windows Server 2003 que funciona perfectamente aún en Windows Server 2012 R2
La podemos descargar desde:
Download Account Lockout Status (LockoutStatus.exe) from Official Microsoft Download Center:
https://www.microsoft.com/en-us/download/details.aspx?id=15201
Es un archivo MSI el cual podemos instalar en cualquier Controlador de Dominio, y que nos permitirá encontrar en cuál Controlador de Dominio se originó el bloqueo; esto es importante ya que en el mismo es donde quedará el evento que necesitamos buscar
No voy a mostrar el proceso de instalación, porque es simplemente siguiente…siguiente y aceptando la licencia y la carpeta por omisión
Para esta nota utilizaré tres máquinas virtuales de la misma infraestructura que utilizo siempre en las notas:
- DC1.ad.guillermod.com.ar: Controlador de Dominio
- DC2.ad.guillermod.com.ar: Controlador de Dominio
- CL1.ad.guillermod.com.ar: Cliente del Dominio
He creado un usuario de prueba llamado U1 (“User Uno”), y he editado la “Default Domain Policy” incluyendo la configuración de bloqueo de cuentas, como muestra la siguiente figura
Luego desde CL1 intenté el incio de sesión con la cuenta U1, pero poniendo mal la contraseña, hasta que el sistema avisa que la cuenta se ha bloqueado
Podemos inclusive verificarlo en las propiedades de la cuenta de usuario
Entonces lo primero que debemos hacer es ejecutar LOCKOUTSTATUS.EXE para identificar cuál Controlador de Dominio fue el que bloqueó la cuenta
Ingresamos el nombre de la cuenta bloqueada
En el listado resultante nos mostrará en qué Controladores de Dominio la cuenta ya está bloqueada. Pero lo importante es ver cuál es el “Orig Lock”, ya que éste es el Controlador de Dominio que ejecutó el bloqueo, y donde deberemos buscar el evento que nos dirá desde qué máquina cliente se produjo
En este caso vemos que fue DC1, y por lo tanto deberemos buscar el evento en el “Log Security” de DC1, filtrando para que sea más fácil de hallar
El número de evento es 4740
Como podemos observar, el bloqueo se produjo por acceso incorrecto desde la máquina CL1
Conociendo desde qué máquina de la red se produjo el bloqueo, ya tenemos el dato principal para identificar el problema
Al comienzo mencioné, conexiones de red o servicios, pero nunca se debe descartar que no haya un usuario malicioso ;)
Comentarios
En la mayoría de los escenarios, encontrar el origen puede ser más simple. El PDC emulator siempre tiene que registrar el account lockout, por ello podríamos omitir la búsqueda en todos los DCs e ir directo al PDC emulator para consultar los eventos 4740 con texto que incluya el samAccountName que estamos buscando.
Para buscar de forma sencilla podríamos usar EventCombMT (nada más que no usen los IDs sugeridos ya que esos son para Windows 2003 y anteriores) o usar un script de PowerShell.
Referencias:
PDC Emulator Role:
https://msdn.microsoft.com/en-us/library/cc223752.aspx
Account Lockout:
https://technet.microsoft.com/en-us/library/cc780271(v=ws.10).aspx
PowerShell script for finding account lockout origin:
https://blogs.technet.microsoft.com/heyscriptingguy/2012/12/27/use-powershell-to-find-the-location-of-a-locked-out-user/
Hola Mario, no las considero las más simples aunque provean el mismo resultado. Básicamente hay dos motivos, una porque no todos los administradores están familiarizados aún con PowerShell, y la otra porque tú mismo lo dices, sugiere eventos que no corresponden a la versión actual del sistema operativo. La que he puesto en la nota, tampoco la hice pensando en la más simple, sino que sólo es una posibilidad que me pareció buena difundir
Y con respecto a que siempre es el Emulador PDC es quien hace el bloqueo, considero también que es importante tener la información sobre a qué otros DCs ya se ha replicado la información, entiendo que conoces el tema de las demoras en la replicación entre Sites
Hola como esta..
A mi me esta sucediendo el bloqueo constantemente, cuando voy al event viewer filtro el evento y coloco el event id 4740 para saber donde esta bloqueado y me aparece el servidor que esta bloqueado me y todo. En ese servidor elimino toda mi credenciales ya sea via terminal, y no tengo credenciales colocada en algún servicio de ahí. Pero aun me sigue bloqueado, ya se me siento un poco cansado con esta situación si tiene alguna idea o algo que me pueda ayudar te lo agradeceré.
Hola Hector, lo importante no es dónde se está bloqueando sino «desde dónde», desde qué máquina o máquinas se produce el acceso que produce el bloqueo
Yo no tengo forma de conocer tu infraestructura, pero te paso alguna idea para que puedas investigar
Una posibilidad es con el comando «NET SESSION» en los servidores que comparten recursos puedes ver las conexiones
Y dependiendo la versión del sistema operativo que tengas, hay un componente que se puede agregar y lista las sesiones «Share and Storage Management»
Recuerda que estas son comentarios sobre la nota. Si no puedes solucinarlo con lo anterior, recurre a un foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Y te recomiendo que des más datos, para que alguien pueda ayudarte
Hola ; que tal, estoy teniendo este mismo inconveniete y eh podido dar con el equipo que bloquea la cuenta, pero no se que aplicacion esta bloqueando la cuenta, teniendo en cuenta cuenta con una politica de que al tercer intento se bloquea por error. si no es por el usuario , quisiera saber que aplicacion bloquea… gracias
Hola Ricardo, lo que bloquea una cuenta no es una aplicación en sí, sino que es una conexión a un recurso compartido. Lo más que se puede sacar, tal como muestra la nota es desde qué máquina, y luego lo que toca es revisar en esa máquina qué es lo que intenta conectarse
A mi me esta pasando lo mismo se que pc es la que se bloquea pero no se por que, me podrian decir como puedo saber que es lo que esta intentando conectarse
Nathaly, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Hola Guillermo, un placetr saludarte ¿Sabes si existe alguna forma de bloquear una cuenta indefinitamente, hasta que intervenga un administrador, tras haberse bloqueado x veces automaticamente?
Es decir, si por ejemplo la cuenta x se bloquea más de 5 veces en menos de 24 horas se bloqueará indefinidamente hasta que intervenga un administrador?
No que yo sepa. O se bloquea por X cantidad de tiempo o indefinidamente hasta que alguien con los privilegios suficientes la desbloquee
Hola, Buen día. Verifique en el visor de eventos cual es el equipo que hace la llamada de bloqueo. Y aparece el mismos controlador de dominio. En este caso que se puede hacer?…
Hola, igual que en todos los casos nombrados, hay que ver qué servicio o conexión con contraseña almacenada está tratando de hacer la conexión
Filtrando por evento 4740, cuentas bloqueadas, me encuentro que en nombre de computadora, esta en blanco.
Es un unico controlador de dominio.
como puedo rastrear desde que equipo o ip, se bloqueo la cuenta ??
algun link para leer ??
Gracias.
Sucede eso a veces. Ralmente no se me ocurre otra idea más que ir revisando, por servicios, mapeos, etc. que tengan credenciles «cacheadas» de usuario
O ver coincidencia de fechas entre que comenzó el problema y ver qué usuario cambió contraseña ese día