Account Active Directory Bloccato – diagnostica del problema

Account Active Directory Bloccato – diagnostica del problema

 

 

Talvolta può capitare che gli account di Active Directory vengano bloccati a causa di tentativi di accesso con password errata.

Questo problema può accadere se l’utente dopo aver cambiato la password non ha aggiornato le credenziali sui vari dispositivi o applicativi che utilizza. Molto spesso il problema può essere legato alle seguenti cause che generano tentativi di accesso ripetuti con credenziali errate:

  • Password di rete salvate relative all’account
  • Operazioni pianificate eseguite con le credenziali dell’account
  • Servizi in esecuzione con le credenziali dell’account
  • Applicazioni che utilizzano al loro interno con le credenziali dell’account
  • Utilizzo delle credenziali dell’account per connettersi a reti wifi
  • Utilizzo delle credenziali dell’account per connettersi via Remote Desktop
  • Accessi eseguiti da smartphone, tablet che fanno uso delle credenziali dell’account per leggere la posta, connettersi a reti wifi o aprire VPN
  • Il virus Conficker può causare tentativi di attacchi a forza bruta sui membri del gruppo built-in Administrators nel dominio.
  • Accessi eseguiti da più client con versioni di OS differenti in cui può accadere che le versioni legacy dei client non riescano a rilevare correttamente il cambio di password.

Generalmente è difficile scoprire la causa del bloco e l’analisi dell’event viewer di windows richiede la creazione di appositi filtri e molta pazienza.

Un metodo più rapido e semplice è quello di andare ad analizzare il log del servizio NET LOGON

 

Per prima cosa è necessario abilitare il log del servizio Net Logon ed attendere che l’utente venga bloccato.

a riguardo si veda la KB 109626 Enabling debug logging for the Net Logon service a questo indirizzo :

https://support.microsoft.com/en-us/help/109626/enabling-debug-logging-for-the-netlogon-service

Nel link sopra riportato trovate due eseguibili rispettivamente abilitano e disabilitano il logging sul servizio Net Logon.

 

Dopo che l’utente di active Directory risulta essere bloccato è possibile andare ad anilizzare il file di log che si trova in questo percorso :

 

%windir%\debug\netlogon.log

Ovviamente essendo attivo il servizio net logon è necessario fare una copia del file e poi procedere con l’analisi.

 

 

E’ consigliabile aprire il file con un editor avanzato come potrebbe essere Notepad++ che potete scaricare qui:

https://notepad-plus-plus.org/downloads/

 

Una volta apert il file con lo strumento cerca possiamo ricercare gli eventi di nostro interesse, l’evento generato da password non corretta e il blocco dell’utente :

“0xC000006A”  Codice generato dalla password sbagliata
“0xC0000234”  Codice generato dal blocco dell’utente

In Windows 8 e Windows Server 2012 o successivo nel file netlogon.log viene registrato anche l’ID del processo dell’applicazione che ha causato il lockout rendendo più semplice l’analisi e la chiara individuazione del problema.

Un altro tool interessante è il Netwrix Account Lockout Examiner che permette un’analisi granulare con una GUI semplice del blocco degli account, del tool esiste una versione freeware ed una versione a pagamento che permette l’implementazione di una struttura di helpdesk per supportare gli utenti in situazioni di lockout per la comparazione delle funzionalità si veda :

https://www.netwrix.com/account_lockout_examiner_editions.html

 

 

ISCRIVITI ALLA NEWSLETTER DI PC-GURU.IT

Grazie all’iscrizione ti informerò ogni volta che pubblicherò un nuovo contenuto.

Non perderti nemmeno un articolo!

Iscriviti alla nostra newsletter inserendo la tua mail qui :


 

 

 

Author: admin

Share This Post On

Submit a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock