Reddit – sysadmin – forensIT – flytte profiler fra et domæne til et andet….og konti bliver ved med at låse sig på det gamle domæne

Så for nylig har vi brugt forensIT (https://www.forensit.com/) til at flytte profiler på arbejdsstationer fra et gammelt domæne til et nyt domæne. Jeg har faktisk været meget imponeret over ForensIT – produktet ser ud til at fungere meget godt til det, det gør, og det er en stor tidsbesparelse (jeg er ikke tilknyttet dem på nogen måde).

Her er problemet – brugernavnet til brugerkontoen er det samme for begge domæner, både det gamle og det nye – det skal forblive sådan. Når vi flytter fra det gamle domæne til det nye domæne, er der noget på arbejdsstationen der autentificerer mod det gamle domæne, selv om computeren nu er på det nye domæne. Dette forårsager en kontolåsning på det gamle domæne. Jeg skal bemærke, at computeren stadig er på et netværk, der kan få adgang til det gamle domæne, og skal bevare denne evne.

dvs: flyt arbejdsstation fra domæneA til domæneB med konto/profil jsmith. Når arbejdsstationen er på domæneB, ser vi forbindelsesforsøg og ldap-autentifikationsanmodning på domæneA, selv om intet bør forsøge at autentificere mod domæneA længere.

Er der nogen der kender et værktøj, eller et hjælpeprogram, der ser på en arbejdsstation og overvåger ethvert forsøg på at bruge ntlm eller ldap? eller for den sags skyld et værktøj, der overvåger ethvert forsøg med en hvilken som helst protokol, der bruges til domæneautentifikation?

Vi har prøvet alle AD-log/begivenhedsfremviser/domænecontroller-logværktøj, vi kan finde for at finde ud af dette, men jeg har endnu ikke fundet et værktøj, der rent faktisk ser på arbejdsstationen, ikke domænecontrolleren, og overvåger ethvert forsøg på at autentificere mod domænet. Findes det?