Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo

Cuando en un ambiente de Dominio Active Directory se implementa una directiva de bloqueo de cuentas, suele suceder que alguna cuenta de usuario se bloquea sin que el usuario haya puesto mal la contraseña al iniciar sesión

Los motivos suelen ser variados, aunque generalmente se deben a que el usuario cambió su contraseña, pero quedaron conexiones de red que estaban hechas recordando la contraseña anterio. O inclusive a veces se debe a que hay servicios que se ejectuan con la cuenta de usuario

Cuando esto sucede es importante identificar la causa, y para eso debemos buscar el evento de seguridad que se genera cuando se bloquea la cuenta, para poder identificar desde qué máquina cliente se produjo el bloqueo

Si en la red hubiera un único Controlador de Dominio el tema sería muy fácil ya que es la única ubicación donde se generará el evento, pero si como es habitual existen más de un Controlador de Dominio, la búsqueda del evento hay que hacerla en cada uno de ellos

Si son pocos no tendremos problemas, pero si son varios y queremos ahorrar tiempo hay una “vieja utilidad” del Kit de Recursos de Windows Server 2003 que funciona perfectamente aún en Windows Server 2012 R2

La podemos descargar desde:

Download Account Lockout Status (LockoutStatus.exe) from Official Microsoft Download Center:
https://www.microsoft.com/en-us/download/details.aspx?id=15201

Es un archivo MSI el cual podemos instalar en cualquier Controlador de Dominio, y que nos permitirá encontrar en cuál Controlador de Dominio se originó el bloqueo; esto es importante ya que en el mismo es donde quedará el evento que necesitamos buscar

No voy a mostrar el proceso de instalación, porque es simplemente siguiente…siguiente y aceptando la licencia y la carpeta por omisión

Para esta nota utilizaré tres máquinas virtuales de la misma infraestructura que utilizo siempre en las notas:

  • DC1.ad.guillermod.com.ar: Controlador de Dominio
  • DC2.ad.guillermod.com.ar: Controlador de Dominio
  • CL1.ad.guillermod.com.ar: Cliente del Dominio

He creado un usuario de prueba llamado U1 (“User Uno”), y he editado la “Default Domain Policy” incluyendo la configuración de bloqueo de cuentas, como muestra la siguiente figura

Luego desde CL1 intenté el incio de sesión con la cuenta U1, pero poniendo mal la contraseña, hasta que el sistema avisa que la cuenta se ha bloqueado

Podemos inclusive verificarlo en las propiedades de la cuenta de usuario

 

Entonces lo primero que debemos hacer es ejecutar LOCKOUTSTATUS.EXE para identificar cuál Controlador de Dominio fue el que bloqueó la cuenta

Ingresamos el nombre de la cuenta bloqueada

En el listado resultante nos mostrará en qué Controladores de Dominio la cuenta ya está bloqueada. Pero lo importante es ver cuál es el “Orig Lock”, ya que éste es el Controlador de Dominio que ejecutó el bloqueo, y donde deberemos buscar el evento que nos dirá desde qué máquina cliente se produjo

En este caso vemos que fue DC1, y por lo tanto deberemos buscar el evento en el “Log Security” de DC1, filtrando para que sea más fácil de hallar

El número de evento es 4740

Como podemos observar, el bloqueo se produjo por acceso incorrecto desde la máquina CL1

 

Conociendo desde qué máquina de la red se produjo el bloqueo, ya tenemos el dato principal para identificar el problema

Al comienzo mencioné, conexiones de red o servicios, pero nunca se debe descartar que no haya un usuario malicioso ;)

By Guillermo Delprato, on 24/05/2016 at 06:11, under Active Directory - Directorio Activo, Administración, How To - Step-by-step - Paso a paso, Seguridad, Windows Server, Windows Server 2012, Windows Server 2012 R2. Etiquetas: , , , , , , . 14 comentarios
Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • Mario Contreras  El 04/06/2016 a las 22:19
    Permalink | Responder

    En la mayoría de los escenarios, encontrar el origen puede ser más simple. El PDC emulator siempre tiene que registrar el account lockout, por ello podríamos omitir la búsqueda en todos los DCs e ir directo al PDC emulator para consultar los eventos 4740 con texto que incluya el samAccountName que estamos buscando.

    Para buscar de forma sencilla podríamos usar EventCombMT (nada más que no usen los IDs sugeridos ya que esos son para Windows 2003 y anteriores) o usar un script de PowerShell.

    Referencias:

    PDC Emulator Role:
    https://msdn.microsoft.com/en-us/library/cc223752.aspx

    Account Lockout:
    https://technet.microsoft.com/en-us/library/cc780271(v=ws.10).aspx

    PowerShell script for finding account lockout origin:
    https://blogs.technet.microsoft.com/heyscriptingguy/2012/12/27/use-powershell-to-find-the-location-of-a-locked-out-user/

    • Guillermo Delprato  El 06/06/2016 a las 08:22
      Permalink | Responder

      Hola Mario, no las considero las más simples aunque provean el mismo resultado. Básicamente hay dos motivos, una porque no todos los administradores están familiarizados aún con PowerShell, y la otra porque tú mismo lo dices, sugiere eventos que no corresponden a la versión actual del sistema operativo. La que he puesto en la nota, tampoco la hice pensando en la más simple, sino que sólo es una posibilidad que me pareció buena difundir
      Y con respecto a que siempre es el Emulador PDC es quien hace el bloqueo, considero también que es importante tener la información sobre a qué otros DCs ya se ha replicado la información, entiendo que conoces el tema de las demoras en la replicación entre Sites

  • Hector Manolo Acosta Berroa  El 29/11/2016 a las 01:06
    Permalink | Responder

    Hola como esta..

    A mi me esta sucediendo el bloqueo constantemente, cuando voy al event viewer filtro el evento y coloco el event id 4740 para saber donde esta bloqueado y me aparece el servidor que esta bloqueado me y todo. En ese servidor elimino toda mi credenciales ya sea via terminal, y no tengo credenciales colocada en algún servicio de ahí. Pero aun me sigue bloqueado, ya se me siento un poco cansado con esta situación si tiene alguna idea o algo que me pueda ayudar te lo agradeceré.

    • Guillermo Delprato  El 29/11/2016 a las 08:02
      Permalink | Responder

      Hola Hector, lo importante no es dónde se está bloqueando sino «desde dónde», desde qué máquina o máquinas se produce el acceso que produce el bloqueo
      Yo no tengo forma de conocer tu infraestructura, pero te paso alguna idea para que puedas investigar
      Una posibilidad es con el comando «NET SESSION» en los servidores que comparten recursos puedes ver las conexiones
      Y dependiendo la versión del sistema operativo que tengas, hay un componente que se puede agregar y lista las sesiones «Share and Storage Management»
      Recuerda que estas son comentarios sobre la nota. Si no puedes solucinarlo con lo anterior, recurre a un foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
      Y te recomiendo que des más datos, para que alguien pueda ayudarte

  • Ricardo  El 11/04/2017 a las 16:07
    Permalink | Responder

    Hola ; que tal, estoy teniendo este mismo inconveniete y eh podido dar con el equipo que bloquea la cuenta, pero no se que aplicacion esta bloqueando la cuenta, teniendo en cuenta cuenta con una politica de que al tercer intento se bloquea por error. si no es por el usuario , quisiera saber que aplicacion bloquea… gracias

    • Guillermo Delprato  El 12/04/2017 a las 07:47
      Permalink | Responder

      Hola Ricardo, lo que bloquea una cuenta no es una aplicación en sí, sino que es una conexión a un recurso compartido. Lo más que se puede sacar, tal como muestra la nota es desde qué máquina, y luego lo que toca es revisar en esa máquina qué es lo que intenta conectarse

  • Nathaly  El 21/12/2017 a las 18:48
    Permalink | Responder

    A mi me esta pasando lo mismo se que pc es la que se bloquea pero no se por que, me podrian decir como puedo saber que es lo que esta intentando conectarse

  • United  El 30/05/2018 a las 11:51
    Permalink | Responder

    Hola Guillermo, un placetr saludarte ¿Sabes si existe alguna forma de bloquear una cuenta indefinitamente, hasta que intervenga un administrador, tras haberse bloqueado x veces automaticamente?
    Es decir, si por ejemplo la cuenta x se bloquea más de 5 veces en menos de 24 horas se bloqueará indefinidamente hasta que intervenga un administrador?

    • Guillermo Delprato  El 30/05/2018 a las 13:06
      Permalink | Responder

      No que yo sepa. O se bloquea por X cantidad de tiempo o indefinidamente hasta que alguien con los privilegios suficientes la desbloquee

  • luisandrescardozoacosta  El 08/10/2018 a las 11:23
    Permalink | Responder

    Hola, Buen día. Verifique en el visor de eventos cual es el equipo que hace la llamada de bloqueo. Y aparece el mismos controlador de dominio. En este caso que se puede hacer?…

    • Guillermo Delprato  El 08/10/2018 a las 12:09
      Permalink | Responder

      Hola, igual que en todos los casos nombrados, hay que ver qué servicio o conexión con contraseña almacenada está tratando de hacer la conexión

  • Fernando Di Bernardo  El 21/11/2019 a las 09:09
    Permalink | Responder

    Filtrando por evento 4740, cuentas bloqueadas, me encuentro que en nombre de computadora, esta en blanco.
    Es un unico controlador de dominio.
    como puedo rastrear desde que equipo o ip, se bloqueo la cuenta ??
    algun link para leer ??
    Gracias.

    • Guillermo Delprato  El 21/11/2019 a las 18:38
      Permalink | Responder

      Sucede eso a veces. Ralmente no se me ocurre otra idea más que ir revisando, por servicios, mapeos, etc. que tengan credenciles «cacheadas» de usuario
      O ver coincidencia de fechas entre que comenzó el problema y ver qué usuario cambió contraseña ese día

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.