Блокировка учеток в AD

Windows 95, 98, ME и 3,11; WinNT, Win2000, WinXP, Win2003, Vista, 7
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Dominator
мл. сержант
Сообщения: 119
Зарегистрирован: 2009-06-06 15:43:01
Откуда: Новосибирск/Кобург
Контактная информация:

Блокировка учеток в AD

Непрочитанное сообщение Dominator » 2017-06-16 5:47:26

Всех приветстсвую!
Некоторое время назад столкнулся с проблемой: блокируется моя (преумущественно) учетка в AD. После разблокировки есть примерно минута, затем учетка опять блочится. Проходит часов восемь, и все нормализуется

Конфигурация:
Моя станция под Windows виртуализирована, т.к. есть пара прог, которые на лине не поднять (настройка ATC, Veeam B&R Console, Veeam ONE Console), на хосте стоит debian. Подключаюсь к винде из-под Rdesktop или Remmina. Полгода все было нормально, потом началось.

На AD (Win 2008R2) завязан Exchange 2013. Учеток больше 1500. Контроллеров домена было четыре: два обычные и два RODC. Из-за проблем с репликацией (пока не разобрались, в чем причина) RODC отключены на данный момент.

В логах блокировки имя компьютера пишется или rdesktop или FreeRDP, причем блочить может не только меня с таким же именем компа, хотя я единственный админ, который использует линь на рабочей станции. Еще замечено, что даже если %logonserver% равен второму контроллеру, то все равно блочит первый.

В другой фирме, которая у меня на обслуживании, такой проблемы нет. Там нет Exchange и используется связка AD 2008R2 как носителся FSMO и Samba 4 в составе Debian 8 как второго контроллера AD. Оффтоп: жаба задушила в фирме на 15 сотрудников тратить 50000р на еще одну лицензию для Windows Server :smile:

Кто-нибудь знает, что могло случиться?
Windows must die!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3631
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Блокировка учеток в AD

Непрочитанное сообщение snorlov » 2017-06-16 9:08:39

Я думаю вам надо разобраться с репликацией, даже точнее с dns'ом и временем в сети. Кстати а как виртуалка идет в сеть, из под ната или моста?

Аватара пользователя
Dominator
мл. сержант
Сообщения: 119
Зарегистрирован: 2009-06-06 15:43:01
Откуда: Новосибирск/Кобург
Контактная информация:

Блокировка учеток в AD

Непрочитанное сообщение Dominator » 2017-06-16 10:48:13

snorlov писал(а):Я думаю вам надо разобраться с репликацией, даже точнее с dns'ом и временем в сети. Кстати а как виртуалка идет в сеть, из под ната или моста?
Соединение мостовое, и виртулка введена в AD.
snorlov писал(а):Я думаю вам надо разобраться с репликацией
Есть какие-нибудь доки, где подробно разжевано? Был бы очень признателен
Мы (4 админа) не смогли найти вменяемой инструкции/документации, где бы было более-менее подробно расписано как это диагностить (не просто, что проблема есть, а куда копать в принципе и описание параметров LDAP, которые за это отвечают).

P.S. Оффтоп. Досталось наследство, называется :smile:
Windows must die!

snorlov
подполковник
Сообщения: 3631
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Блокировка учеток в AD

Непрочитанное сообщение snorlov » 2017-06-16 10:55:08

Ну что делать, наследство есть наследство, прогоните тесты на контроллерах АД, в первую очередь dcdiag и netdiag... и про время не забудьте. У вас точно блокировка учетки или же просто не пускает...

Demis
сержант
Сообщения: 162
Зарегистрирован: 2015-05-25 14:36:32

Блокировка учеток в AD

Непрочитанное сообщение Demis » 2018-07-17 21:05:04

Dominator писал(а):
2017-06-16 10:48:13
а куда копать в принципе
Попробуйте посмотреть с простого - нет-ли кешированного пароля на виртуалке или еще где-то от этого пользователя.
Была как-то история:

Код: Выделить всё

Были два разных домена соединены в трастед-моде.
Сотрудник ездил с ноутбуком вне домена, то туда, то сюда, 
диски из обоих доменов цеплялись скриптом, 
логины и пароли одинаковые в обоих доменах. 
В некий момент времени стал оставлять ноут на второй площадке.

Как-то раз обращается "моя учетка заблокирована".
Снимаю лок.
Через минуту, опять заблокирована.
Опять снимаю блокироваку, опять лочится...
Минут через пять, до меня дошло, что что-то совсем не так...
Спрашиваю, а пароль не менял?
"Менял".
"Давно?".
"В пятницу".
"А на ноуте поменял?"
"??? А зачем?"
Звоню на вторую площадку "ребята, посмотрите, ноут включен? Да. Выключите на хер..."
Лочится перестало...
Потом посмотрел, на ноуте остался старый закешированный пароль...
Он-то и портил всю малину...