Как найти причину блокировки аккаунтов в Active Directory?

От: Из: Общие



@ukrainizator

Всем привет!

Помогите разобраться почему Active Directory блокирует пользователей, которые подключаются к корпоративной сети по vpn (l2tp).

Дано:
1. локальный Windows Server 2022 с последними обновлениями + Active Directory + файловое хранилище (samba)
2. фаервол Sophos XG 310, который выполняет роль шлюза и vpn сервера
3. клиентские машины с Windows 10 Pro

При подключении клиентской машины к vpn, сервер с AD пингуется, но если сразу попытаться войти на сетевой ресурс в файловом хранилище, аккаунт блокируется. В логах сервера есть информация о блокировке аккаунта, но нет информации почему. На клиенте в логах есть информация о блокировке winlogon.exe из-за неправильно введенного пароля. Иногда удается получить нормальный доступ к сетевым дискам, если после подключения к vpn, вылогиниться с Windows и залогиниться повторно. Не всегда это удается и аккаунт при попытке залогиниться повторно также блокируется.

При работе с сетевыми ресурсами с локальной сети или с удаленной сети, роутер в которой заранее установил подключения по vpn (создав таким обазом тунель), никакой проблемы с блокировкой аккаунта не возникает. Сетевые папки монтируются автоматически с помощью GPO в зависимости уровня доступа пользователя. Правило в GPO, которое могло бы блокировать пользователей отключено. Т.е. нет блокировки акканута при неправильно введенном пароле.

актуализация: аудит на сервере включен; правило GPO о периодической смене пароля выключено; пароли в менеджере паролей на клиентских машинах удалялись. результат тот же.

p.s. Cервер с AD 1,5 года назад был перенесен с Windows 2003 на Windows 2008, а потом на Windows 2022. пользователи подключались к vpn серверу по протоколу pptp. Потом протокол был заменен на l2tp для большей безопасности и шифрования тунелей. И скорее всего после этого начались проблемы с блокировкой аккаунтов.

p.p.s. Еще заметил, что на тестовой клиентской машине с чистым Windows блокировки аккаунта вообще не наблюдается, даже если пытаешься ввойти на сетевой ресурс сразу после подключения по vpn. Остальные служебные клиентские машины имеют Windows с подготовленного образа с предустановками, но и в локальных настройках я не могу найти правило, которые бы провоцировало блокировку доменных аккаунтов.

Вот такой вот полтергейст. Как найти причину блокировки аккаунтов?


Решения вопроса 0


Ответы на вопрос 1



@mvv-rus

Включите аудит неудачных попыток входа в систему (через групповую политику) и смотрите в журналах Security событий Windows на КД и на всех серверах, куда пользователи не могут получить доступ.
Предполагаемая причина, особенно, если у вас принята политика регулярной смены паролей для пользователей — устаревший запомненный пароль на устройствах пользователей. Обучите пользователей самостоятельно смотреть и удалять эти пароли.

Похожие записи:

  1. Запланированное правило брандмауэра OPNSense не работает
  2. Можно ли установить mozilla vpn на роутер?
  3. Больше не может подключиться к VPN
  4. Как исправить очень медленный роутинг локального трафика при подключённом VPN?
  5. Как указать сетевой интерфейс / локальный IP-адрес для использования в профиле браузера «без VPN»?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *