Problema: tras uno de los cambios periódicos y obligatorios de contraseña, la cuenta de un usuario comienza a bloquearse constantemente, tras desbloquearla se vuelve a bloquear entre una y dos horas más tarde.
Tras revisar el Visor de sucesos en su equipo (Windows XP Professional SP2, en un dominio Windows Server 2003 SE, SP1), se observan los siguientes errores, aproximadamente al tiempo en que se producen los bloqueos de la cuenta:
Aplicación:
Tipo: | Error |
Usuario: | NT AUTHORITY\SYSTEM |
Equipo: | estacion |
Origen: | Userenv |
Categoría: | Ninguno |
Id. suceso: | 1053 |
Descripción: | Windows no puede determinar el nombre de usuario o de equipo. ( Error interno ). Se ha anulado el proceso de directiva de grupo. |
Sistema:
Tipo: | Advertencia |
Usuario: | No disponible |
Equipo: | estacion |
Origen: | LSASRV |
Categoría: | SPNEGO (Negociador) |
Id. suceso: | 40960 |
Descripción: | El Sistema de seguridad detectó un intento de ataque para degradar el Servidor LDAP/dc.dominio.es. El código de error del protocolo de autenticación Kerberos era «La cuenta del usuario ha sido bloqueada automáticamente porque se han solicitado demasiados intentos de inicio de sesión o de cambio de contraseña (0xc0000234)». |
Solución: el problema resulta ser causado por algún problema en la entrada correspondiente al equipo en DNS. Supuestamente, Kerberos no podía autenticar el nombre del equipo, si bien en la consola DNS aparecían correctamente tanto el registro A como el PTR.
Tras borrar ambas entradas y recrearlas, el problema desaparece.