Задать вопрос
@ukrainizator
фанат администрирования сетей и систем

Как найти причину блокировки аккаунтов в Active Directory?

Всем привет!

Помогите разобраться почему Active Directory блокирует пользователей, которые подключаются к корпоративной сети по vpn (l2tp).

Дано:
1. локальный Windows Server 2022 с последними обновлениями + Active Directory + файловое хранилище (samba)
2. фаервол Sophos XG 310, который выполняет роль шлюза и vpn сервера
3. клиентские машины с Windows 10 Pro

При подключении клиентской машины к vpn, сервер с AD пингуется, но если сразу попытаться войти на сетевой ресурс в файловом хранилище, аккаунт блокируется. В логах сервера есть информация о блокировке аккаунта, но нет информации почему. На клиенте в логах есть информация о блокировке winlogon.exe из-за неправильно введенного пароля. Иногда удается получить нормальный доступ к сетевым дискам, если после подключения к vpn, вылогиниться с Windows и залогиниться повторно. Не всегда это удается и аккаунт при попытке залогиниться повторно также блокируется.

При работе с сетевыми ресурсами с локальной сети или с удаленной сети, роутер в которой заранее установил подключения по vpn (создав таким обазом тунель), никакой проблемы с блокировкой аккаунта не возникает. Сетевые папки монтируются автоматически с помощью GPO в зависимости уровня доступа пользователя. Правило в GPO, которое могло бы блокировать пользователей отключено. Т.е. нет блокировки акканута при неправильно введенном пароле.

актуализация: аудит на сервере включен; правило GPO о периодической смене пароля выключено; пароли в менеджере паролей на клиентских машинах удалялись. результат тот же.

p.s. Cервер с AD 1,5 года назад был перенесен с Windows 2003 на Windows 2008, а потом на Windows 2022. пользователи подключались к vpn серверу по протоколу pptp. Потом протокол был заменен на l2tp для большей безопасности и шифрования тунелей. И скорее всего после этого начались проблемы с блокировкой аккаунтов.

p.p.s. Еще заметил, что на тестовой клиентской машине с чистым Windows блокировки аккаунта вообще не наблюдается, даже если пытаешься ввойти на сетевой ресурс сразу после подключения по vpn. Остальные служебные клиентские машины имеют Windows с подготовленного образа с предустановками, но и в локальных настройках я не могу найти правило, которые бы провоцировало блокировку доменных аккаунтов.

Дополнение от 04.10.2023: Причину блокировки пока не удалось найти. Зато нашел странные ошибки в журнале событий на серваке. Перед блокировкой тестового аккаунта в логах появляется событие 4769 с кодом 0х18 (Pre-authentication information was invalid), сообщающий о неудачной авторизации с помощью протокола Kerberos с указанием ip-адреса старой сети, от которой отключились перед подключением к vpn. Тип авторизации (logon type) при этом - 3 (сетевое подключение, как при открытии расшаренной папки). Похоже на то, что аккаунт блокируется уже в момент переключения с одной сети с доступом в интеренет на другую. Информации о том, какое приложение вызывает блокировку нет. Все PID и TID в логах указывают на lsaas.exe.

После этого следует куча похожих событий 4625 с кодом 0xC0000234 (user is currently locked out) уже с новым ip-адресом, выданным сервером vpn. Эти события отличаются только портом. Как будто идёт перебор и попытка подключиться, но уже с помощью протокола NTLS.


Вот такой вот полтергейст. Как найти причину блокировки аккаунтов?
  • Вопрос задан
  • 381 просмотр
Подписаться 2 Сложный 8 комментариев
Пригласить эксперта
Ответы на вопрос 1
@mvv-rus
Настоящий админ AD и ненастоящий программист
Включите аудит неудачных попыток входа в систему (через групповую политику) и смотрите в журналах Security событий Windows на КД и на всех серверах, куда пользователи не могут получить доступ.
Предполагаемая причина, особенно, если у вас принята политика регулярной смены паролей для пользователей - устаревший запомненный пароль на устройствах пользователей. Обучите пользователей самостоятельно смотреть и удалять эти пароли.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы