Windows 2008 R2 gpupdate bloquea mi cuenta de usuario

9

Creé un servidor Windows 2008 R2 el año pasado, y desde entonces mi cuenta elevada se bloquea de 10 a 12 veces al día. Después de mucha investigación y pruebas, descubrí que el servidor bloquea mi cuenta en cada intento fallido de actualizar la Política de grupo (aproximadamente cada 90 minutos). No encontré información en la web que indique que alguien más haya visto esto, y yo también lo encuentro increíble.

Cada vez que se registran 3 eventos del sistema en el servidor:

Id. De evento 14: la contraseña almacenada en Credential Manager no es válida. Esto puede ser causado por el usuario que cambia la contraseña de esta computadora o de una computadora diferente. Para resolver este error, abra Credential Manager en el Panel de control y vuelva a ingresar la contraseña para la credencial contoso \ me.

No hay entradas en Credential Manager. Esto sucede independientemente de si deshabilito o no el servicio Credential Manager, si estoy conectado o no, si cierro sesión y uso una cuenta de administrador local para eliminar mi perfil.

ID. De suceso 40960: el sistema de seguridad detectó un error de autenticación para el servidor cifs / ContosoDC.contoso.com. El código de falla del protocolo de autenticación Kerberos fue "La cuenta de usuario se ha bloqueado automáticamente porque se han solicitado demasiados intentos de inicio de sesión o de cambio de contraseña no válidos. (0xc0000234)".

-

Id. De evento 1058:

El procesamiento de la directiva de grupo falló. Windows intentó leer el archivo \ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini desde un controlador de dominio y no tuvo éxito. La configuración de la directiva de grupo no se puede aplicar hasta que se resuelva este evento. Este problema puede ser transitorio y puede ser causado por uno o más de los siguientes: a) Resolución de nombre / Conectividad de red al controlador de dominio actual. b) Latencia del servicio de replicación de archivos (un archivo creado en otro controlador de dominio no se ha replicado en el controlador de dominio actual). c) Se ha deshabilitado el cliente del Sistema de archivos distribuido (DFS).

Revisé los elementos ac, ninguno parece ser el caso.

He probado esto a fondo comprobando que la cuenta de usuario no está bloqueada, ejecutando gpupdate en el servidor y luego volviendo a verificar la cuenta de usuario, que se bloquea inmediatamente. He usado herramientas de bloqueo para revelar que todos los bloqueos se originan en este servidor en particular. La cuenta de usuario no tiene una dirección de correo electrónico asociada, y he investigado exhaustivamente la variedad habitual de problemas de bloqueo conocidos.

¿Alguna pista para mí? Me estoy preparando para eliminar este servidor de producción y restablecer su objeto de computadora en AD, pero no sé si ayudará.

Windows Server Ops
fuente
2
¿Tiene una configuración de servicio con su nombre de usuario? ¿Qué pasa con una sesión RDP desconectada? ¿En qué orden estás recibiendo estos? Supongo que 40960 es el proceso de bloqueo y el resto es el resultado de eso.
Nixphoe

Respuestas:

8

Aparentemente, puede haber contraseñas en el administrador de credenciales que no aparecen. O, para citar este enlace :

Hay contraseñas que se pueden almacenar en el contexto del SISTEMA que no se pueden ver en la vista normal de Credential Manager.

Descargue PsExec.exe de http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx y cópielo en C: \ Windows \ System32.

Desde un símbolo del sistema, ejecute: psexec -i -s -d cmd.exe

Desde la nueva ventana de DOS, ejecute: rundll32 keymgr.dll,KRShowKeyMgr

Elimine cualquier elemento que aparezca en la lista de nombres de usuario y contraseñas almacenados. Reinicia la computadora.

Con suerte, eso resolverá tu problema.

Katherine Villyard
fuente
1
Desearía poder darte más de un voto a favor. Nunca hubiera pensado en buscar en el contexto de la cuenta SYSTEM credenciales guardadas como esta.
bshacklett
1

Si el administrador de credenciales no ayuda, intentaría poner el sistema en una unidad organizativa sin ningún GPO para probar.

Si el problema persiste, está relacionado con el GPO de dominio predeterminado, un GPO que se aplica a todo el dominio o no está relacionado con GPO. De cualquier manera, esto puede ayudar a limitar el alcance de la búsqueda.

Desde un indicador de cmd, use gpupdate para probar los cambios sin tener que esperar y gpresult / R para ver qué GPO se aplicaron al sistema.

Si cree que un GPO todavía está involucrado, use el filtro WMI para evitar que se apliquen los GPO.

También tenga en cuenta que podría haber GPO aplicados a nivel de sitio, pero los verá en la salida de gpresult.

Si puede limitar los bloqueos reduciendo los GPO, agréguelos a la unidad organizativa uno a la vez para encontrar el que es parte de la causa. Luego investigue ese GPO para encontrar la resolución.

También aquí hay una lista de cosas que verifico cuando la cuenta se bloquea y ya sé del sistema del que proviene. Servicios Tareas programadas Unidades asignadas Aplicaciones web Consola VM Consola KVM Sesiones RDP Scripts Aplicaciones auxiliares PW Conexión VPN Otros dispositivos que se conectan al correo electrónico Herramientas de escritorio remoto Aplicaciones que ejecutan Credential Manager

Jason Landstrom
fuente