[2000/XP] Accounts zogenaamd locked out, maar niet echt - Windows clients

donderdag 4 augustus 2005 08:15

Acties:

Blablabla

Topicstarter

Ik heb een vreemd probleem, waar ik even geen oplossing voor heb.

Situatieschets:

- Domein Controllers, allen Windows 2000, in native mode, SP4 installed evenals relevante hotfixes.
- clients zijn Windows XP met SP2 en alle hotfixes applied

Probleem:

De client ziet bij sommige accounts het vinkje voor 'Account locked out' staan, terwijl andere mensen dat vinkje niet zien. Het account is ook niet echt gelocked.

Dit zijn vooral usercodes die al een tijdje niet meer gebruikt zijn (maar nog wel enabled zijn).

De client heeft wel rechten om in de betreffende OU/de betreffende accounts te kijken.

De client heeft het ook geprobeer te bekijken op een Windows 2003 server, met hetzelfde resultaat. Een lokaal probleem lijkt me daarmee uit te sluiten.

Uiteraard heb ik al in de Knowledge Base bij Microsoft gezocht, en ook via Google, maar het probleem is dat het erg lastig is om hier een goede zoek-query van te maken, ik krijg alleen een hoop te zien over Lock-out policies etc, wat hier dus niet relevant is.

Heeft iemand dit probleem ook wel eens gezien, en er een oplossig voor?

Virussen? Scan ze hier!

donderdag 4 augustus 2005 08:45

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Connecteren de werkplekken ook naar verschillende DC's? Zo ja, dan kan het een probleem zijn in de verschillende AD databases van de Domain Controllers (dus replicatieprobleem). Je zou voor de gein eens met Adsi-edit eea gaan vergelijken.

Zorg dat je een account krijgt wat op sommige werkplekken een verschillend resultaat geeft (bv. op pcA lijkt het account gelocked, op pcB niet). Start Adsiedit en connect naar een DC, browse naar het useraccount en vraag vervolgens de properties op. Noteer alle relevante gegevens (badPwdCount, AccountExpires, badPasswordTime, etc). Connecteer vervolgens binnen Adsiedit naar een andere DC en vergelijk de gevonden gevevens.

Ik vermoed nl. dat er verschillen tussen zitten. Dit kan een start zijn voor verdere troubleshootacties.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 4 augustus 2005 08:51

Acties:

wildhagen

Blablabla

Topicstarter

Sorry, dat had ik er bij moeten zetten.

We kijken allebei op dezelfde DC, en een replicatie heb ik al eens geforceerd. Ook gisteren hadden wij dit probleem al, dus er is al vele malen een replicatie geweest.

Met de accounts word ook niet (meer) ingelogged. Het zijn mensen die al een tijdje weg zijn, het trad naar voren bij een gewone inventarisatie van accounts.

Wij gebruiken ook een tool om lockouts etc in de gaten te houden (GFI LanGuard), en die heeft ook niets op gepikt (scanned continue de DC's) omtrent de betreffende accounts,

[ Voor 10% gewijzigd door wildhagen op 04-08-2005 08:54 ]

Virussen? Scan ze hier!

donderdag 4 augustus 2005 10:51

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Wel erg bizar, een account is gelocked of niet.

wildhagen schreef op donderdag 04 augustus 2005 @ 08:51:
We kijken allebei op dezelfde DC, en een replicatie heb ik al eens geforceerd.

Maar allebei kijken jullie remote begrijp ik? Zelfde OS op de client, patchlevel gelijk, versie van Adminpak identiek?

Wat is de status van het account als er lokaal aangelogd wordt op de DC? Dan weet je in ieder geval welke van de twee werkplekken een foute status weergeeft...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zondag 7 augustus 2005 09:31

Acties:

wildhagen

Blablabla

Topicstarter

Question Mark schreef op donderdag 04 augustus 2005 @ 10:51:
Wel erg bizar, een account is gelocked of niet.

[...]
Maar allebei kijken jullie remote begrijp ik? Zelfde OS op de client, patchlevel gelijk, versie van Adminpak identiek?

Wat is de status van het account als er lokaal aangelogd wordt op de DC? Dan weet je in ieder geval welke van de twee werkplekken een foute status weergeeft...

Sorry voor de late reply, ik was ziek...

Ja, we kijken allebei remote. OS is niet hetzelfde (ik gebruik 2000 Terminal Server, hij XPSP2 lokaal, en Windows 2003 TS). Alle genoemde systemen zijn (middels Windows Update) geheel uptodate. Adminpak is de laatst beschikbare versie van geinstalleerd (dus niet die van de CD, maar van de website).

Lokaal op de DC is het 'niet gelocked' (vinkje dus weg, en optie greyed out, zoals normaal). Het probleem zit dus bij mijn client...

Het is ook geen enorm probleem omdat de accounts dus niet écht gelocked zijn, maar het is wel vervelend, want een wél gelocked account valt nu natuurlijk niet zo snel meer op...

Virussen? Scan ze hier!

zondag 7 augustus 2005 18:23

Acties:

Zwelgje

gebruik je het adminpak voor 2003

(die dus op de website staat)

je zou eens de adminpak uit de system32 van de server kunnen installeren (je krijgt dan wel een melding op een xp box dat het niet compatible is) en dan upgraden naar de 2003 versie

ik had ooit een probleem met een dial-in tabje wat niet zichtbaar was met de 2003 adminpak, de 2000 installen en de 2003 eroverheen deed toen wonderen.

ander punt, die accounts hebben niet toevallig een 'account expires' date die verlopen is

[ Voor 9% gewijzigd door Zwelgje op 07-08-2005 18:24 ]

A wise man's life is based around fuck you

zondag 7 augustus 2005 18:36

Acties:

wildhagen

Blablabla

Topicstarter

Ik zal het eens laten proberen morgen. Nu gebruikt hij idd de 2003-adminpak ja.

Account expirations doen we niet aan in die OU, dus dat is het iig niet.

Ik laat het morgen nog wel ff weten.

Overigens gaan we vanaf komend weekend toch langzaam over op een ADS2003-omgeving (ipv de huidige ADS2000), dus misschien is het probleem daarmee vanzelf wel opgelost.

Als alle suggesties in dit topic niets helpen, laat ik het probleem even liggen tot na de migratie. Het is onzin om er veel tijd in te stoppen als het misschien over een poosje vanzelf verdwijnt.

[ Voor 49% gewijzigd door wildhagen op 07-08-2005 18:40 ]

Virussen? Scan ze hier!