Hace un tiempo escribi sobre como hacer el troubleshoting the las cuentas de active directory que se bloqueaban. Hoy vamos a volver a hablar del tema de las herramientas “Accoutn Lockout Tools”,

Después de determinar el patrón de los bloqueos de cuentas y reducir su ámbito de aplicación a un equipo cliente o servidor miembro específico, usted debe reunir información detallada acerca de todos los programas y servicios que se están ejecutando en ese equipo. Parte de la información que se debe obtener incluye:

• unidades de red mapeadas
• Logon scripts que se asignan las unidades de red
• RunAs shortcuts
• Las cuentas que se utilizan para los inicios de sesión de cuenta de servicio
• Procesos en los equipos cliente
• Programas que pueden pasar credenciales de usuario para un programa de red centralizada o capa de aplicación de nivel medio

Las secciones siguientes se describen las herramientas que puede utilizar para ayudarle a recopilar información desde el entorno de red.

La herramienta LockoutStatus.exe

El LockoutStatus.exe muestra información sobre una cuenta bloqueada. Esto se hace mediante la recopilación de información de la cuenta-bloqueo específico de Active Directory. La siguiente lista describe las diferentes informaciones que se muestra por la herramienta:

• DC Name: Muestra todos los controladores de dominio que están en el dominio.
• Site: Muestra los sitios en los que residen los controladores de dominio.
• UserState: Muestra el estado del usuario y si ese usuario está bloqueado de su cuenta.
• Bad Pwd Count: Muestra el número de intentos de inicio de sesión de cada controlador de dominio. Este valor confirma los controladores .dominio que estuvieron involucrados en el bloqueo de la cuenta.
• Last Bad Pwd: Muestra la hora del último intento de inicio de sesión que utiliza una contraseña incorrecta.
• Pwd Last Set: Muestra el valor de la última buena contraseña o cuando el equipo era último desbloqueado.
• Lockout Time: Muestra el momento en que la cuenta se bloqueó.
• Orig Lock: Muestra el controlador de dominio que cerró la cuenta (el controlador de dominio que hizo la escritura original al atributo lockoutTime para ese usuario).

Donde obtener la herramienta LockoutStatus.exe

LockoutStatus.exe se incluye en el paquete de ALTools.exe que está disponible en el "Account Lockout and Management Tools" en el sitio web de Microsoft: https://www.microsoft.com/en-us/download/details.aspx?id=18465

Cómo instalar la herramienta LockoutStatus.exe

Para instalar la herramienta LockoutStatus.exe, instale el paquete de ALTools en el controlador de dominio.

Cómo utilizar la herramienta LockoutStatus.exe

Para ejecutar la herramienta LockoutStatus.exey muestran información sobre una cuenta de usuario bloqueada:

1. Double-click LockoutStatus.exe
2. En el menú Archivo, haga clic en Seleccionar destino.
3. Escriba el nombre de usuario cuyo estado de bloqueo en controladores de dominio de la empresa que desea obtener información.

La siguiente figura muestra un ejemplo en el que dos controladores de dominio tienen un valor badPwdCount de 5, que es también el umbral de contraseña incorrecta. Un controlador de dominio es el maestro de operaciones de PDC, y el otro controlador de dominio es el controlador de dominio de autenticación. Estos dos controladores de dominio se muestran debido encadenamiento contraseña desde el controlador de dominio de autenticación al PDC.

Figura 2: La herramienta LockoutStatus.exe

La herramienta ALockout.dll

La herramienta ALockout.dll y la secuencia de comandos Appinit.reg se incluyen en el paquete de ALTools. ALockout.dll es una herramienta de registro que puede ayudar a determinar el programa o proceso que está enviando las credenciales incorrectas en un escenario de bloqueo de cuentas. La herramienta se une a una variedad de llamadas de función que un proceso puede utilizar para la autenticación. Luego, la herramienta guarda la información sobre el programa o proceso que se está haciendo esas llamadas en el archivo SystemRoot \ Debug \ Alockout.txt. Los eventos son una marca de tiempo para que pueda relacionarlos con los eventos que se registran en cualquiera de los archivos de registro de sesión de red o los archivos de registro de sucesos de seguridad.

Puede utilizar Appinit.reg para inicializar el archivo .dll. Este archivo proporciona ninguna otra funcionalidad.

Nota: Microsoft no recomienda que utilice esta herramienta en servidores que hostean programas o servicios. No debe habilitar ALockout.dll en servidores de Exchange porque la herramienta ALockout.dll puede evitar que el almacén de Exchange se inicie.

Importante: Antes de instalar la herramienta ALockout.dll en cualquier ordenador de misión crítica, hacer una copia de seguridad completa del sistema operativo y de los datos importantes.

Para obtener más información, consulte "Errores al instalar Exchange Server con CleanSweep" en el Microsoft Knowledge Base .

En la mayoría de los escenarios de bloqueo de cuentas, se debería instalar ALockout.dll en los equipos cliente. Utilice la información que se almacena en el archivo de registro de sesión de red y el registro de eventos de seguridad para determinar los equipos de los que están siendo enviadas las credenciales incorrectas que están bloqueando la cuenta del usuario. Al instalar la herramienta ALockout.dll en el equipo cliente que está enviando las credenciales incorrectas, la herramienta registra el proceso que está enviando las credenciales incorrectas.

Donde de obtener la herramienta ALockout.dll

se incluye en el paquete de ALTools.exe que está disponible en el "Account Lockout and Management Tools" en el sitio web de Microsoft: https://www.microsoft.com/en-us/download/details.aspx?id=18465

Cómo instalar la herramienta ALockout.dll

Hay dos versiones del archivo ALockout.dll. Una versión del archivo es para equipos que ejecutan un sistema operativo Windows 2000, y la otra versión del archivo es para equipos que ejecutan un sistema operativo Windows XP. Ver el archivo Readme.txt que se incluye en el paquete de ALTools.

Para instalar ALockout.dll

• En el equipo que ha generado mensajes de error de bloqueo de cuentas en el registro de sucesos de seguridad, copiar los archivos tanto ALockout.dll y Appinit.reg a la carpeta \ system32.
• Haga doble clic en el archivo Appinit.reg para ejecutar el script. Al hacer esto, el archivo ALockout.dll se ha registrado y se comience a proporcionar información.
• Reinicie el equipo para completar la instalación.

Cómo quitar la herramienta ALockout

Para eliminar el archivo desde el ordenador ALockout.dll

• En un símbolo del sistema, escriba regsvr32 / u ALockout.dll.
• Elimine el valor ALockout.dll que se encuentra bajo la siguiente clave del registro:
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ Windows AppInit_DLLs
  Después de eliminar el valor ALockout.dll, la clave de registro AppInit_DLLs está en blanco.
• Reinicie el equipo.
• Eliminar el archivo ALockout.dll de la carpeta / System32 SystemRoot.

Cómo utilizar la herramienta ALockout.dll

Se debe utilizar la herramienta con ALockout.dll de sesión de registro y auditoría de seguridad. Para utilizar la herramienta ALockout.dll:

• Wait for an account to lock out on the computer. Espere a que una cuenta de bloquear en el equipo.
• When an account is locked out, the ALockout.txt file is created in the Systemroot \Debug folder. Cuando una cuenta está bloqueada, el archivo ALockout.txt se crea en la carpeta SystemRoot \ depuración.
• Comparación de las marcas de tiempo evento en ALockout.txt con las marcas de tiempo, tanto en los archivos de registro de sesión de red y los archivos de registro de sucesos de seguridad. Al hacer esto, se puede determinar el proceso que está causando los bloqueos.

Puede utilizar la herramienta ALockout.dll si ya ha configurado el registro de sesión de red, así como Kerberos y la auditoría de inicio de sesión en el equipo local. ALockout.dll no interfiere con cualquier otro registro o evento generación.

La herramienta ALoInfo.exe

Si bloqueos de cuentas parecen ocurrir con mayor frecuencia después de un usuario se ve obligado a cambiar su contraseña, es posible que desee determinar qué contraseñas de los usuarios están a punto de expirar. Puede utilizar la herramienta ALoInfo.exe para mostrar todos los nombres de cuenta de usuario y contraseña de la edad para esas cuentas de usuario. Esto le permitirá utilizar la herramienta ALockout.dll y otras herramientas de bloqueo de cuentas para configurar las herramientas antes del bloqueo de la cuenta inicial. También puede obtener una lista de todos los servicios locales y puesta en información de la cuenta con la función ALoInfo.exe.

Nota: También puede utilizar la herramienta SecDump para mostrar la información de caducidad de contraseña en un dominio de Windows NT Server 4.0. Puede descargar esta herramienta desde el Microsoft Web site. Tenga en cuenta que las direcciones Web pueden cambiar, por lo que es posible que no pueda conectar con el sitio o sitios Web mencionados aquí.

Donde obtener la herramienta ALoInfo.exe

El archivo ALoInfo.exe se incluye en el paquete de ALTools.exe que está disponible en el "bloqueo de cuentas y herramientas de gestión" en el Microsoft Web site.

Cómo instalar la herramienta ALoInfo.exe

Para instalar la herramienta ALoInfo.exe, instale el paquete de ALTools en el controlador de dominio. El paquete contiene la herramienta ALTools ALoInfo.exe.

Cómo utilizar la herramienta ALoInfo.exe

Puede utilizar ALoInfo.exe en un símbolo del sistema con uno de los métodos siguientes:

• Para mostrar una cuentas edades contraseña de un controlador de dominio, en el símbolo del sistema, escriba lo siguiente: aloinfo /expires /server:Domain_Controller_Name
• Para visualizar toda la información de cuenta de inicio de servicio local y la información de unidad asignada para un usuario que ha iniciado la sesión, en un símbolo del sistema, escriba el siguiente comando: aloinfo /stored /server:Computer_Name

Puede redirigir la salida de ALoInfo.exe a un archivo de texto y luego ordenar los resultados para determinar qué usuarios pueden estar implicados en el bloqueo de la cuenta. Esta información también se puede almacenar para su posterior análisis.

La herramienta AcctInfo.dll

Puede utilizar la herramienta AcctInfo.dll añadir nuevas páginas de propiedades de los objetos de usuario en el complemento Usuarios y equipos de Active Directory de MMC. Puede utilizar estas páginas de propiedades para ayudar a aislar y solucionar problemas de bloqueos de cuentas y para restablecer una contraseña de usuarios en un controlador de dominio en el sitio local de ese usuario.

AcctInfo.dll muestra la siguiente información de la cuenta de usuario que puede ser capaz de utilizar para identificar y resolver problemas de bloqueo de cuentas:

• Última vez que se ha establecido la contraseña
• Cuando la contraseña caducará
• Control de cuentas de usuario sin procesar Valor y Decode
• Tiempo de la cuenta se bloqueó
• Si la cuenta está bloqueada ahora, cuando será desbloqueado
• Security identifier (SID) de la cuenta, y su SIDHistory
• Globally unique identifier (GUID) de la cuenta
• Estas propiedades de la cuenta:
• Last Logon
• Last Logoff
• Last Bad Logon
• Logon Count
• Bad Password Count

También puede utilizar la herramienta AcctInfo.dll para obtener la información de contraseña de dominio (espiración, tiempo de bloqueo, y así sucesivamente). Puede escribir el nombre del equipo del usuario en la herramienta, y luego restablecer la contraseña del usuario en un controlador de dominio en el sitio de ese usuario.

Nota: Debido a la latencia de replicación, los controladores de dominio pueden almacenar información diferente sobre la misma cuenta de usuario. AcctInfo.dll muestra información que se recupera de un único controlador de dominio.

Donde obtener la herramienta AcctInfo.dll

La herramienta AcctInfo.dll se incluye en el paquete ALTools.exe que está disponible en el "bloqueo de cuentas y herramientas de gestión" en el Microsoft Web site.

Cómo instalar la herramienta AcctInfo.dll

En el equipo donde desea ejecutar Active Directory Users and Computers MMC Snap-in:

• Copiar el archivo AcctInfo.dll a la carpeta System32.
• En un símbolo del sistema, escriba regsvr32 acctinfo.dll, y presiona ENTRAR.

El archivo AcctInfo.dll se ha registrado y se muestra en la hoja de propiedades de un usuario en el complemento Usuarios y equipos de Active Directory de MMC después de seguir estos pasos.

Para utilizar el botón Estado de bloqueo de cuentas en la herramienta, compruebe que LockoutStatus.exe se encuentra en la carpeta \ system32. Si LockoutStatus.exe no está instalado en este lugar, este botón no está disponible.

Cómo utilizar la herramienta AcctInfo.dll

Para utilizar la herramienta AcctInfo.dll, abra el complemento Usuarios y equipos de MMC activas, haga clic en un usuario, haga clic en Propiedades y, a continuación, haga clic en cuenta la información adicional. Un ejemplo de la información que es proporcionada por AcctInfo.dll se muestra en la siguiente figura.

Figura 3: Cuadro de propiedades Principal

La siguiente figura muestra la información de la directiva de contraseñas de dominio que puede ver para determinar la política de contraseñas que se aplica al controlador de dominio.

Figura 4: Política de contraseñas de dominio

Cambiar contraseña en un controlador de dominio en el sitio del usuario

La herramienta AcctInfo.dll le permite aumentar la funcionalidad de la MMC Usuarios y equipos de Active Directory mediante la adición de la capacidad de restablecer la contraseña de un usuario en el sitio local de ese usuario. Cuando se restablece la contraseña en el sitio remoto, a evitar los retrasos de replicación que pueden ocurrir antes de que el usuario inicia una sesión.

Cuando se restablece la contraseña, también se puede desbloquear la cuenta y establecer el usuario debe cambiar la contraseña de valor. Estas opciones se encuentran en el cambio de contraseña en un controlador de dominio en el cuadro Sitio de los usuarios como se muestra en la siguiente figura.

Figura 5: Cambiar contraseña en un DC En El Sitio Usuarios

Cómo quitar la herramienta AcctInfo.dll

Para quitar la herramienta AcctInfo.dll, elimine el archivo AcctInfo.dll de la carpeta / System32 SystemRoot y, a continuación, escriba el siguiente comando en un símbolo del sistema:

regsvr32 /u acctinfo.dll

La herramienta EventCombMT.exe

Puede utilizar la herramienta EventCombMT.exe para recopilar eventos específicos de registros de sucesos de varios equipos diferentes en una única ubicación central. Puede configurar EventCombMT.exe para buscar eventos y computadoras. Algunas categorías de búsqueda específicos se construyen en la herramienta, tales como bloqueos de cuentas. Tenga en cuenta que la categoría de bloqueos de cuentas está preconfigurado para incluir eventos 529, 644, 675, 676, y 681.

Figura 6: La herramienta EventCombMT.exe

Donde obtener la herramienta EventCombMT.exe

La herramienta EventCombMT.exe se incluye en el paquete ALTools.exe que está disponible en el "bloqueo de cuentas y herramientas de gestión" en el Microsoft Web site.

Cómo instalar la herramienta EventCombMT.exe

No es necesario instalar esta herramienta por separado. Al instalar ALTools en el controlador de dominio, EventCombMT.exe también se instala en el directorio que ha especificado durante la instalación.

Cómo utilizar la herramienta EventCombMT.exe

Para utilizar la herramienta EventCombMT.exe, abra la carpeta que especificó durante la instalación de ALTools, haga doble clic en EventCombMT.exe, haga clic en el menú de búsquedas, haga clic en la función Buscar y haga clic en bloqueos de cuentas. Al hacer esto, los eventos que se extraen de los registros de eventos se muestran automáticamente en la herramienta. Estos eventos son de todos los controladores de dominio del entorno. Además de 529, 644, 675, y 681, tipo 12294 en el cuadro de identificadores de evento y haga clic en Buscar. Luego, la herramienta busca en los ordenadores para estos eventos, y luego los guarda en un archivo .txt que se especifique.

La herramienta NLParse.exe

Dado que los archivos de registro de sesión de red pueden llegar a ser más de 10 MB de tamaño, es posible que desee analizar los archivos de la información que desea ver. Puede utilizar la herramienta NLParse.exe para analizar los archivos de registro de sesión de red para los códigos específicos de estado de sesión de red de retorno. La salida de esta herramienta se guarda en un archivo de valores separados por comas (.csv) que se puede abrir en Excel para ordenar más.

Nota: Los códigos de retorno que son específicos de los bloqueos de cuentas son 0xC000006A y 0xC0000234.

La siguiente figura muestra la interfaz de la herramienta NLParse.exe.

Figura 7: Inicio de sesión de Parse-devuelven códigos de estado

Donde obtener la herramienta NLParse.exe

La herramienta NLParse.exe se incluye en el paquete ALTools.exe que está disponible en el "bloqueo de cuentas y herramientas de gestión" en el Microsoft Web site.

Cómo instalar la herramienta NLParse.exe

No es necesario instalar esta herramienta por separado; al instalar ALTools en el controlador de dominio, NLParse.exe también está instalado.

Cómo utilizar la herramienta NLParse.exe

Para utilizar la herramienta NLParse.exe, abra la carpeta que especificó durante la instalación de ALTools, haga doble clic en Nlparse.exe, haga clic en Abrir para abrir el archivo Netlogon.log que desea analizar, seleccione las casillas de verificación de los códigos de estado que se desee buscar y, a continuación, haga clic en Extraer. Por lo general, es posible que desee mirar a ambos los estados de código 0xC000006A y 0xC0000234 para determinar desde donde los cierres están llegando.

La herramienta Findstr.exe

También puede utilizar la herramienta Findstr.exe para analizar los archivos de registro de sesión de red. Findstr.exe es una herramienta de línea de comandos que puede utilizar para analizar varios archivos Netlogon.log al mismo tiempo. Después de que se reúnen los archivos Netlogon.log de varios controladores de dominio, extraer información sobre una cuenta de usuario específico de los archivos (usuario1, 0xC000006A código de error, o error code0xC0000234). Puede utilizar esta herramienta para ayudarle a obtener la salida de un usuario, un equipo o un código de error en los archivos Netlogon.log.

Donde obtener la herramienta Findstr.exe

La herramienta Findstr.exe se incluye en la instalación predeterminada de Windows 2000, Windows XP y los sistemas operativos de la familia Windows Server 2003.No se requiere ninguna instalación o configuración adicional para la herramienta Findstr.exe.

Cómo utilizar la herramienta Findstr.exe

Para utilizar la herramienta Findstr.exe, cambiar el nombre de los archivos Netlogon.log, y luego guardar los archivos en una carpeta. Para analizar todos los archivos de registro de sesión de red, escriba el siguiente comando en el símbolo del sistema:

FindStr /I User1 *netlogon* .log >c:\ user1 .txt

Las Herramientas Replmon y Repadmin

Si aún no lo ha verificado la replicación de Active Directory en un controlador de dominio, en el símbolo del sistema, escriba repadmin / o showreps replmon para verificar que la correcta replicación de Active Directory está ocurriendo. En muchos casos, es posible que se desbloquee una cuenta, pero las nuevas credenciales no trabaja. Este comportamiento se produce normalmente debido a la latencia de replicación. Cambiar la contraseña de los usuarios en su sitio local para evitar problemas de latencia de replicación.

Network Monitor monitor de red

Monitor de red es una poderosa herramienta que puede utilizar para capturar la comunicación en red sin filtrar.

Si el bloqueo de cuentas se debe a un proceso o programa y una cuenta ya está bloqueada en un equipo cliente específico, se reúnen las trazas de red de todo el tráfico desde y hacia ese equipo cliente mientras que la cuenta sigue bloqueada. El programa o proceso muy probablemente continuarán enviando credenciales incorrectas al tratar de acceder a los recursos que se encuentran en la red. La captura todo el tráfico desde y hacia el cliente puede ayudarle a determinar cuál es la red de recursos del proceso está intentando obtener acceso a.Después de determinar el recurso de red, se puede determinar qué programa o proceso que se está ejecutando en el ordenador cliente.

Si se puede limitar la búsqueda a un ordenador específico, pero la cuenta de usuario aún no está bloqueado, seguir corriendo Monitor de red hasta que se produzca el bloqueo de ese usuario. Después de producirse el bloqueo, comparar las marcas de tiempo de los eventos cuando el en los registros de sucesos de sesión de red o de seguridad con los datos que fueron capturados en la traza. Debería ver que el recurso de red que se tiene acceso con credenciales incorrectas.

Después de identificar un programa o servicio como la causa del bloqueo, ver el sitio web de los fabricantes de software de resolución conocidos. Este comportamiento se produce normalmente debido a que el programa se está ejecutando con la sesión iniciada credenciales del usuario. Si un servicio es la causa del bloqueo, considerar la creación de cuentas que son específicamente para los servicios de ejecución de tal forma de cuenta de usuario los cambios de contraseña no afectan a los servicios.

Espero que les sea de interés. Saludos. Roberto Di Lello

Mas Información: Account Lockout Tools