Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo

Cuando en un ambiente de Dominio Active Directory se implementa una directiva de bloqueo de cuentas, suele suceder que alguna cuenta de usuario se bloquea sin que el usuario haya puesto mal la contraseña al iniciar sesión

Los motivos suelen ser variados, aunque generalmente se deben a que el usuario cambió su contraseña, pero quedaron conexiones de red que estaban hechas recordando la contraseña anterio. O inclusive a veces se debe a que hay servicios que se ejectuan con la cuenta de usuario

Cuando esto sucede es importante identificar la causa, y para eso debemos buscar el evento de seguridad que se genera cuando se bloquea la cuenta, para poder identificar desde qué máquina cliente se produjo el bloqueo

Si en la red hubiera un único Controlador de Dominio el tema sería muy fácil ya que es la única ubicación donde se generará el evento, pero si como es habitual existen más de un Controlador de Dominio, la búsqueda del evento hay que hacerla en cada uno de ellos

Si son pocos no tendremos problemas, pero si son varios y queremos ahorrar tiempo hay una “vieja utilidad” del Kit de Recursos de Windows Server 2003 que funciona perfectamente aún en Windows Server 2012 R2

La podemos descargar desde:

Download Account Lockout Status (LockoutStatus.exe) from Official Microsoft Download Center:
https://www.microsoft.com/en-us/download/details.aspx?id=15201

Es un archivo MSI el cual podemos instalar en cualquier Controlador de Dominio, y que nos permitirá encontrar en cuál Controlador de Dominio se originó el bloqueo; esto es importante ya que en el mismo es donde quedará el evento que necesitamos buscar

No voy a mostrar el proceso de instalación, porque es simplemente siguiente…siguiente y aceptando la licencia y la carpeta por omisión

Para esta nota utilizaré tres máquinas virtuales de la misma infraestructura que utilizo siempre en las notas:

  • DC1.ad.guillermod.com.ar: Controlador de Dominio
  • DC2.ad.guillermod.com.ar: Controlador de Dominio
  • CL1.ad.guillermod.com.ar: Cliente del Dominio

He creado un usuario de prueba llamado U1 (“User Uno”), y he editado la “Default Domain Policy” incluyendo la configuración de bloqueo de cuentas, como muestra la siguiente figura

Luego desde CL1 intenté el incio de sesión con la cuenta U1, pero poniendo mal la contraseña, hasta que el sistema avisa que la cuenta se ha bloqueado

Podemos inclusive verificarlo en las propiedades de la cuenta de usuario

 

Entonces lo primero que debemos hacer es ejecutar LOCKOUTSTATUS.EXE para identificar cuál Controlador de Dominio fue el que bloqueó la cuenta

Ingresamos el nombre de la cuenta bloqueada

En el listado resultante nos mostrará en qué Controladores de Dominio la cuenta ya está bloqueada. Pero lo importante es ver cuál es el “Orig Lock”, ya que éste es el Controlador de Dominio que ejecutó el bloqueo, y donde deberemos buscar el evento que nos dirá desde qué máquina cliente se produjo

En este caso vemos que fue DC1, y por lo tanto deberemos buscar el evento en el “Log Security” de DC1, filtrando para que sea más fácil de hallar

El número de evento es 4740

Como podemos observar, el bloqueo se produjo por acceso incorrecto desde la máquina CL1

 

Conociendo desde qué máquina de la red se produjo el bloqueo, ya tenemos el dato principal para identificar el problema

Al comienzo mencioné, conexiones de red o servicios, pero nunca se debe descartar que no haya un usuario malicioso ;)

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Mario Contreras  On 04/06/2016 at 22:19

    En la mayoría de los escenarios, encontrar el origen puede ser más simple. El PDC emulator siempre tiene que registrar el account lockout, por ello podríamos omitir la búsqueda en todos los DCs e ir directo al PDC emulator para consultar los eventos 4740 con texto que incluya el samAccountName que estamos buscando.

    Para buscar de forma sencilla podríamos usar EventCombMT (nada más que no usen los IDs sugeridos ya que esos son para Windows 2003 y anteriores) o usar un script de PowerShell.

    Referencias:

    PDC Emulator Role:
    https://msdn.microsoft.com/en-us/library/cc223752.aspx

    Account Lockout:
    https://technet.microsoft.com/en-us/library/cc780271(v=ws.10).aspx

    PowerShell script for finding account lockout origin:
    https://blogs.technet.microsoft.com/heyscriptingguy/2012/12/27/use-powershell-to-find-the-location-of-a-locked-out-user/

    • Guillermo Delprato  On 06/06/2016 at 08:22

      Hola Mario, no las considero las más simples aunque provean el mismo resultado. Básicamente hay dos motivos, una porque no todos los administradores están familiarizados aún con PowerShell, y la otra porque tú mismo lo dices, sugiere eventos que no corresponden a la versión actual del sistema operativo. La que he puesto en la nota, tampoco la hice pensando en la más simple, sino que sólo es una posibilidad que me pareció buena difundir
      Y con respecto a que siempre es el Emulador PDC es quien hace el bloqueo, considero también que es importante tener la información sobre a qué otros DCs ya se ha replicado la información, entiendo que conoces el tema de las demoras en la replicación entre Sites

  • Hector Manolo Acosta Berroa  On 29/11/2016 at 01:06

    Hola como esta..

    A mi me esta sucediendo el bloqueo constantemente, cuando voy al event viewer filtro el evento y coloco el event id 4740 para saber donde esta bloqueado y me aparece el servidor que esta bloqueado me y todo. En ese servidor elimino toda mi credenciales ya sea via terminal, y no tengo credenciales colocada en algún servicio de ahí. Pero aun me sigue bloqueado, ya se me siento un poco cansado con esta situación si tiene alguna idea o algo que me pueda ayudar te lo agradeceré.

    • Guillermo Delprato  On 29/11/2016 at 08:02

      Hola Hector, lo importante no es dónde se está bloqueando sino “desde dónde”, desde qué máquina o máquinas se produce el acceso que produce el bloqueo
      Yo no tengo forma de conocer tu infraestructura, pero te paso alguna idea para que puedas investigar
      Una posibilidad es con el comando “NET SESSION” en los servidores que comparten recursos puedes ver las conexiones
      Y dependiendo la versión del sistema operativo que tengas, hay un componente que se puede agregar y lista las sesiones “Share and Storage Management”
      Recuerda que estas son comentarios sobre la nota. Si no puedes solucinarlo con lo anterior, recurre a un foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
      Y te recomiendo que des más datos, para que alguien pueda ayudarte

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: