Política de seguridad bloquea a usuario en el servidor active directory

130 0 0 0

 Hola a todos.


 En la presente publicación platicaremos sobre un error que se presentó a un usuario que al querer conectarse a la red el servidor active directory lo calificaba como usuario no válido debido a una incorrecta configuración en una política de seguridad dentro del firewall UGS. Pasemos al tema en cuestión.

 Descripción del problema

 El cliente tiene dos servidores AD uno maestro y otro esclavo. Después de instalar ADSSO en el servidor y configurar la política de seguridad basada en el usuario en USG, la información en línea de algunos usuarios puede sincronizarse con el firewall, pero algunos usuarios no pueden estar en línea en el servidor AD.

 Información de alarma

[2017-12-24 15-32-11][DBG]UserOnLine, UserName: xxxx', Domain: 'automation', Computer: 'xxxx'

[2017-12-24 15-32-11][DBG]szADsPath = LDAP://10.10.x.x/CN=xxxx,OU=Finance,OU=USERS &Groups,DC=x,DC=com

[2017-12-24 15-32-11][DBG]user 'x' Logon from 10.10.y.y

[2017-12-24 15-32-11][DBG]record time 1514097879, message time 1514100731<?xml:namespace prefix = "o" />

[2017-12-24 15-32-11][DBG]Fake logon detected,because logon time too far!

[2017-12-24 16-18-27][INF]UserOffLine enter


 Proceso de manejo

 1. Se verifica la configuración de ADSSO, se encontró que el parámetro:  ComminucationTimeWindow estaba configurado a 5 segundos, este tiempo es demasiado corto para que el usuario logre conectarse al servidor. Cuando el tiempo es menor a 5 segundos, los usuarios no pueden estar en línea y obtienen el siguiente mensaje “fake logon"  en ambos servidores de AD.

 El valor predeterminado del parámetro CommunicationTimeWindow es de 1800 segundos, por lo que lo cambiamos a 1800 y reiniciamos el proceso de ADSSO.

 (Cuando un usuario tiene una alarma de "fake logon" en dos servidores de AD, esta situación no es normal y el usuario no puede estar en línea. Cuando el usuario está en línea en un servidor de AD, el otro servidor de AD también verificará el estado del usuario y en el segundo servidor de AD se mostrará una alarma de "fake logon", lo cual es una situación normal) ya que el usuario está conectado al otro servido).

024955jnc5pnfnnuz1yyy9.png?imagen1.png


 2.- Si el sistema operativo utilizado es mayor que window 8.1 y windows server 2012, el estado en línea del usuario tendrá un atraso de 5 minutos. Para evitar este comportamiento configuramos una política de grupo para deshabilitar el tiempo de retardo.

 

 Causa principal

 El valor del parámetro CommunicationTimeWindow configurado es demasiado corto.

 

 Solución

 Cambie el valor del parámetro CommunicationTimeWindow a 1800 segundos.


024648wnnyutnv2nlv95bd.png?imagen2.png

 Concluimos que si no realizamos una correcta configuración de las funcionalidades den nuestros equipos podemos generar un problema evitando que nuestros usuarios no puedan realizar sus actividades de forma normal.

 FIN


 Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


 #ComunidadEnterprise


 #OneHuawei

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje