Windows Algun capo en Controladores de dominio Microsoft y Active Directory
- Empezó el tema Gigioster
- Fecha de publicación
- Se incorporó
- 4 Agosto 2004
- Mensajes
- 2.580
Basicamente, al momento de que los usuarios cambian la contraseña, sea que este caducada o por caducar, la cuenta se bloquea. Los intentos fallidos de ingreso de contraseñas estan seteados en 10 intentos. Si desbloqueamos al usuario en el AD, a los pocos minutos se vuelve a bloquear. Los equipos estando por VPN o red interna de la empresa, saben que hubo cambio de contraseña, pero no van a los DC a solicitar la nueva pass, sino que te dicen que la contraseña es incorrecta y esta accion tambien bloquea la cuenta.
Lo que no sabemos es si el problema esta en los DC o en las estaciones de trabajo. Levantamos un ticket a MS y nos hicieron hacer unas pruebas de lookout status en los DC y en el PDC y eso lo esta viendo el area de seguridad TI (lamentablemente todo esta ultra segmentado en esta empresa). Ademas el ING de MS nos pidio borrar todo del administrador de credenciales de un equipo de un usuario que tenia el problema de bloqueo y despues del reinicio se soluciono, por lo que el ING de MS nos indico que los attemps podia estarlos generando el equipo que mantenia alguna pass antigua. Lo que no nos cuadra es que tenemos 6800 equipos en produccion y esto empezó a pasar hace un par de meses.
Lo que no sabemos es si el problema esta en los DC o en las estaciones de trabajo. Levantamos un ticket a MS y nos hicieron hacer unas pruebas de lookout status en los DC y en el PDC y eso lo esta viendo el area de seguridad TI (lamentablemente todo esta ultra segmentado en esta empresa). Ademas el ING de MS nos pidio borrar todo del administrador de credenciales de un equipo de un usuario que tenia el problema de bloqueo y despues del reinicio se soluciono, por lo que el ING de MS nos indico que los attemps podia estarlos generando el equipo que mantenia alguna pass antigua. Lo que no nos cuadra es que tenemos 6800 equipos en produccion y esto empezó a pasar hace un par de meses.
Upvote
0
Cosme
Gold Member
- Se incorporó
- 27 Febrero 2005
- Mensajes
- 8.281
Al borrar las credenciales almacenadas, ¿después pudiste validar contra el dominio? De ser así es posible que se haya actualizado el algoritmo de generación de tickets en el server por el CVE-2022-37967, parchado con el KB5020805; y ese update en el server esté provocando que las estaciones tengan que revalidarse y no lo puedan hacer por el cambio en el proceso.
Por el volumen de estaciones tendrías que mandar un fix via politicas de grupo con un script tipo
Código:
cmdkey /delete:Domain:target=serverDC
Upvote
0
- Se incorporó
- 4 Agosto 2004
- Mensajes
- 2.580
si, despues de borrar el adm de credenciales, reiniciamos, y pudimos entrar con la clave nueva
Upvote
0