Windows Algun capo en Controladores de dominio Microsoft y Active Directory

Gigioster

Gigioster

Roar Roar...ROOOOAAARR!!
Se incorporó
4 Agosto 2004
Mensajes
2.561
necesito hacer unas consultas sobre cuentas y bloqueos
 
Sort by date Sort by votes
Gigioster

Gigioster

Roar Roar...ROOOOAAARR!!
Se incorporó
4 Agosto 2004
Mensajes
2.561
Basicamente, al momento de que los usuarios cambian la contraseña, sea que este caducada o por caducar, la cuenta se bloquea. Los intentos fallidos de ingreso de contraseñas estan seteados en 10 intentos. Si desbloqueamos al usuario en el AD, a los pocos minutos se vuelve a bloquear. Los equipos estando por VPN o red interna de la empresa, saben que hubo cambio de contraseña, pero no van a los DC a solicitar la nueva pass, sino que te dicen que la contraseña es incorrecta y esta accion tambien bloquea la cuenta.
Lo que no sabemos es si el problema esta en los DC o en las estaciones de trabajo. Levantamos un ticket a MS y nos hicieron hacer unas pruebas de lookout status en los DC y en el PDC y eso lo esta viendo el area de seguridad TI (lamentablemente todo esta ultra segmentado en esta empresa). Ademas el ING de MS nos pidio borrar todo del administrador de credenciales de un equipo de un usuario que tenia el problema de bloqueo y despues del reinicio se soluciono, por lo que el ING de MS nos indico que los attemps podia estarlos generando el equipo que mantenia alguna pass antigua. Lo que no nos cuadra es que tenemos 6800 equipos en produccion y esto empezó a pasar hace un par de meses.
 
Upvote 0
Cosme

Cosme

Gold Member
Se incorporó
27 Febrero 2005
Mensajes
8.272
Gigioster dijo:
Basicamente, al momento de que los usuarios cambian la contraseña, sea que este caducada o por caducar, la cuenta se bloquea. Los intentos fallidos de ingreso de contraseñas estan seteados en 10 intentos. Si desbloqueamos al usuario en el AD, a los pocos minutos se vuelve a bloquear. Los equipos estando por VPN o red interna de la empresa, saben que hubo cambio de contraseña, pero no van a los DC a solicitar la nueva pass, sino que te dicen que la contraseña es incorrecta y esta accion tambien bloquea la cuenta.
Lo que no sabemos es si el problema esta en los DC o en las estaciones de trabajo. Levantamos un ticket a MS y nos hicieron hacer unas pruebas de lookout status en los DC y en el PDC y eso lo esta viendo el area de seguridad TI (lamentablemente todo esta ultra segmentado en esta empresa). Ademas el ING de MS nos pidio borrar todo del administrador de credenciales de un equipo de un usuario que tenia el problema de bloqueo y despues del reinicio se soluciono, por lo que el ING de MS nos indico que los attemps podia estarlos generando el equipo que mantenia alguna pass antigua. Lo que no nos cuadra es que tenemos 6800 equipos en produccion y esto empezó a pasar hace un par de meses.
Haz clic para expandir...
Al borrar las credenciales almacenadas, ¿después pudiste validar contra el dominio? De ser así es posible que se haya actualizado el algoritmo de generación de tickets en el server por el CVE-2022-37967, parchado con el KB5020805; y ese update en el server esté provocando que las estaciones tengan que revalidarse y no lo puedan hacer por el cambio en el proceso.

Por el volumen de estaciones tendrías que mandar un fix via politicas de grupo con un script tipo
Código: 
cmdkey /delete:Domain:target=serverDC
 
Upvote 0
Gigioster

Gigioster

Roar Roar...ROOOOAAARR!!
Se incorporó
4 Agosto 2004
Mensajes
2.561
Cosme dijo:
Al borrar las credenciales almacenadas, ¿después pudiste validar contra el dominio? De ser así es posible que se haya actualizado el algoritmo de generación de tickets en el server por el CVE-2022-37967, parchado con el KB5020805; y ese update en el server esté provocando que las estaciones tengan que revalidarse y no lo puedan hacer por el cambio en el proceso.

Por el volumen de estaciones tendrías que mandar un fix via politicas de grupo con un script tipo
Código: 
cmdkey /delete:Domain:target=serverDC
Haz clic para expandir...
si, despues de borrar el adm de credenciales, reiniciamos, y pudimos entrar con la clave nueva
 
Upvote 0
You must log in or register to reply here.
Subir