Все привет, нужна помощь ... случилось для меня нечто непонятное, при попытке зайти в домен под любой учетной записью (даже администратора домена) выдает "Вход в систему невозможен, так как ваша учетная запись заблокирована. Обратитесь к администратору сети". Так на любом сервере или компьютере в домене.

В журнале событий на рабочих станциях присутствует ошибка

Система безопасности выявила ошибку проверки подлинности для сервера LDAP/milana.aster.perm.ru/aster.perm.ru@ASTER.PERM.RU. Код сбоя от протокола проверки подлинности Kerberos: "Учетная запись пользователя автоматически заблокирована из-за превышения числа неудачных попыток входа в систему или запросов на изменение пароля.
(0xc0000234)".

milana.aster.perm.ru - это контроллер домена
ASTER.PERM.RU - домен

До журнала события на сервере еще не добрался ...

Нужен совет ...

Вы не помните, на какое время блокируются учетные записи?

Политику устанавливал на 15 минут ...

sgww, похоже на вирус - отключить КД от сети и зарегиться локально по истечении таймаута, включить аудит на отказ, смотреть логи безопасности и чистить машины... в надежде, что КД чист

На все компьютеры в сети обновления ставились вовремя, везде стоит лицензионный касперский ... загрузил КД в безопасном режиме, ждал примерно полчаса, так и не разблокировалось :( Это точно не банальный Kido ...

в безопасном режиме с поддержкой сетевых драйверов учётка домен\администратор включается.

Была похожая ситуация. Был вирус, как раз таки Kido, при наличие лицензионного касперского.
Поставил, где надо критические обновления и удалил политику, пока не вычистил все вирусы.

cameron, Ага ... только вот пароль от отключенной записи администратора мне в свое время никто не передал ... :(
menpavel, Это точно не Kido все заплатки от него стоят

Загрузил сервер в безопасном режиме с поддержкой сетевых подключений, после чего выдернул из сети, если время блокировки стояло 15 минут, то моя учетная запись должна разблокироваться, но этого почему-то не происходит ...

cameron, Ага ... только вот пароль от отключенной записи администратора мне в свое время никто не передал ... »
ну сам себя бука, что не поменял пароль пока была возможность.

cameron, Дак вот не знал я таких тонкостей :( знал бы дык поменял

sgww, на крайний случай пару ссылок (само собой, после бэкапа):

http://www.petri.co.il/forums/showthread.php?t=21433
http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm

Однозначно Kido. Смотрим политику аудита на предмет множественных отказов в подключении по разным именам пользователей с одного IP. Таким образом легко вычисляется проблемная машина.

Не могу посмотреть политику, так как не могу залогинется под админом, я выключил все рабочие станции, потушил все сервера ... в сети остался только КД ... на нем точно стоят патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001. Учетка админа должна ведь разблокироваться если это кидо, но не хочет ... Снял один жесткий диск с КД (RAID1) гоняю по нему антивирус ... почему-то не могу открыть файл журнала из \WINDOWS\system32\config говорит, что файл журнала поврежден, может есть какие-нибудь средства восстановления :(

Может быть попробовать какой-нибудь Active pasword recover с какого-нибудь hiren-CD сбросить пароль для Administrator? Честно говоря при наличие AD пароль такой тулзой не взламывал, но попробовать можно. Я думаю, что должно сработать. конечно же там есть возможность разблокировать учетную запись.
sgww, ты ведь сервер от сети отключил, когда все это делал? А ты уверен на счет политики, что 15 минут, а не навсегда?

Поменял пароль доменного Администратора по умолчанию как написано http://www.petri.co.il/reset_domain_...er_2003_ad.htm, после чего загрузился в безопасном режиме с поддержкой сети, зашел под доменным администратором и разлочил все аккаунты....

Всех благодарю за отзывчивость .... вопрос решен ....

вопрос решен »супер!.. осталось выяснить причину... ;)

осталось выяснить причину.. »
Я думаю, в аудите событий он найдет, все что ему нужно :)

Причина DDOS конкурентов .... взломали один из моих linux серверов и на нем запустили такую пакость которая подбирала пароли в домене ... блокировка как оказалась стояла навсегда (надо все-таки вести журнал обслуживания серверов видимо, я был уверен что не менял значение по умолчанию) ... так, что бдите коллеги ... всем еще раз спасибо ...

PS ... разместил перевод статьи,ссылку на которую мне дал amel27 (еще раз спасибо, пользуясь случаем), у себя в блоге (http://sgww.livejournal.com/14753.html), так что если кто-то плохо владеет английским ...