Usuario en Active Directory se bloquea constantemente – Solución

Vamos a ver la solución para los usuarios que se bloquean constantemente en un dominio, me paso esta semana que un usuario se bloqueaba cada 2 minutos, esto por lo general se debe a
que hay un equipo en la red que esta ejecutando un proceso que lleva a bloquearlo, pero ¿Cómo identificarlo?

Vamos a seguir los siguientes pasos para que no vuelva a ocurrir.

1- Tenemos que desbloquear el usuario y saber a que controlador de dominio se esta haciendo el bloqueo, en mi caso tenía 2 por eso hago este paso, abrimos un cmd y ejecutamos el
siguiente comando que nos ayudará a definir en que controlador de dominio esta conectada la estación de trabajo:

c:\echo %logonserver%

2- El resultado será el nombre del controlador de dominio al que ingresamos por escritorio remoto, abrimos el visor de eventos de windows, por comando eventvwr y vamos a la parte
de seguridad, pero necesitamos hacer un filtro, en este caso era un windows 2003 server, pero es muy parecido en 2008, así que vamos a ver y seleccionamos la opción filtro y en ID de
suceso colocamos el número 644.

3- Del detalle que nos trae vamos a hacer doble clic en cualquiera de los sucesos y vamos a tener en cuenta los siguientes campos:

 Nombre de cuenta de destino el usuario que se está bloqueando

 Nombre del equipo que llama: es el equipo que causa el bloqueo del usuario.

4- Vamos al equipo que nos esta bloqueando y analizamos si hay algún programa o proceso que se ejecuta constantemente para resolverlo.

Nota: si el usuario que se bloquea es el administrador de dominio, es justamente porque se esta corriendo un proceso en algún server o equipo con esa cuenta, lo más probable es que se te
complique la vida. Así que aplicando este procedimiento deberías resolverlo.
Detectar y resolver bloqueos de
cuentas de usuario en Windows
Active Directory
BY CRISTIAN · 23 OCTUBRE 2009
inShare

Siendo administradores de redes Windows, mas de una vez hemos tenido que
lidiar con bloqueos de cuentas en Active Directory.
Lo principal, ante aquellas fallas repetitivas, es detectar el origen
delbloqueo para poder luego analizar con detenimiento el problema en esa
fuente.

Causas de un usuario de Active Directory que se

bloquea automáticamente en la red:
 Virus
 Una tarea programada que quedó con credenciales del usuario
 Un Perfmon (performance monitor) corriendo con credenciales del
usuario
 Alguna aplicacion (antivirus, firewall) que utilice credenciales para salir a
Internet para actualizarse
 Una unidad de red mapeada con credenciales antiguas
 Algun servicio que este ejecutandose con el usuario en cuestión
 Las politicas del dominio (GPO) tienen un umbral de bloqueode cuentas
por password fallidos muy bajo
El set de herramientas imprescindibles para trazar un diagnóstico y resolver
el bloqueo de cuentas de usuario en Active Directory es Account Lockout
tools
Descargala desde este
enlace: http://www.microsoft.com/downloads/details.aspx?familyid=7AF2E6
9C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en
Account Lockout tools tiene muchas mas herramientas que pueden ayudarte
a dianosticar el problema de bloqueo de cuentas.
AcctInfo.dll
Agrega una solapa adicional con informacion sobre los logueos en las
propiedades del usuario en la consola de Active Directory Users and
Computers
ALockout.dll
Esta herramienta crea un archivo de log que puede ayudar a diagnosticar
problemas de logueo.
Extrae los archivos dentro de ALockout.zip (Windows 2000) o
AlockoutXP.zip (Windows XP) y copialos en la computadora que origina los
bloqueos. Copia ALockout.dll en la carpeta System32 y haz doble click en
Appinit.reg para registrar la DLL.
Reinicia la computadora y cuando se bloquee la cuenta nuevamente, puedes
revisar el archivo de log en %WinDir%\debug\ALockout.txt para
diagnosticar.
Debes conocer algo sobre logging en netlogon para interpretarlo!

AloInfo.exe
Para desplegar el password age de cuentas de usuario. Asi puedes concluir que
cuentas estan proximas a expirar y actuar en forma proactiva.
Para usar esta herramienta copiala en una ruta del sistema en un domain
controller y ejecutala desde una consola de sistema
Ejemplo:

C:\>aloinfo /expires /server:tuservidor

Pero lo mas interesante es, quizas, la posibilidad de listar las credenciales de

todos los drives mapeados de un equipo.
Ejemplo:

C:\>aloinfo /stored /server:tuservidor

EventCombMT.exe
Para centralizar logs de eventos de multiples computadoras en una sola
ubicacion y comparar.

NLParse.exe
Usado para parsear e interpretar archivos netlogon. Por ejemplo, para
encontrar codigos de estado relacionados a cuentas que se bloquean.

EnableKerbLog.vbs
Usado para habilitar el logging de kerberos en multiples computadoras

Guia rápida de troubleshooting para bloqueo de

cuentas en la red de Windows:
 Ejecutar LockoutStatus.exe, indicar credenciales del usuario y visualizar
en que domain controller se está bloqueando (notar que casi siempre son
dos: el DC propiamente dicho y el global catalog que recibió la réplica del
estado)
 Desde la misma herramienta, click derecho y abrir el visor de eventos de
este DC ( o bien, abrirlo desde el DC o con alguna mmc cargando el snap
in del event viewer)
 En el log de seguridad del DC, individualizar el evento (por la hora
exacta) de bloqueo
 Determinar la IP o nombre de PC origen del mismo
 Trabajar sobre el origen:
 Busca servicios que esten corriendo con ese usuario
  Busca unidades de red, desmapealas por un tiempo para ver que
sucede
 Revisa el log del antivirus, realiza un scan completo
 Si se trata de XP, limpia las credenciales cacheadas
(http://support.microsoft.com/kb/306992)
 Si se trata de un servidor, examina en la registry por el nombre de
usuario. La llave en donde se encuentre puede darte la pauta de que
aplicacion puede estar usando esas credenciales
Cualquier duda que tengas, puedes comentar tu problema o experiencia e
intentaremos ayudarte!