Reddit – sysadmin – forensIT – spostare profili da un dominio ad un altro….e gli account continuano a bloccarsi sul vecchio dominio

Di recente abbiamo usato forensIT (https://www.forensit.com/) per spostare i profili sulle workstation da un vecchio dominio ad un nuovo dominio. In realtà sono rimasto molto impressionato da ForensIT – il prodotto sembra funzionare molto bene per quello che fa, ed è un enorme risparmio di tempo (non sono affiliato con loro in alcun modo).

Ecco il problema – il nome utente per l’account utente è lo stesso per entrambi i domini, sia quello vecchio che quello nuovo – deve rimanere così. Quando ci spostiamo dal vecchio dominio al nuovo dominio, qualcosa sulla workstation si sta autenticando contro il vecchio dominio, anche se il computer è ora sul nuovo dominio. Questo sta causando un blocco dell’account sul vecchio dominio. Dovrei notare che il computer è ancora su una rete che può accedere al vecchio dominio, e ha bisogno di mantenere quella capacità.

i.e: spostare la workstation dal dominioA al dominioB con l’account/profilo jsmith. Una volta che la workstation è sul dominio B, vediamo tentativi di connessione e richieste di autenticazione ldap sul dominio A, anche se nulla dovrebbe più tentare di autenticarsi contro il dominio A.

Qualcuno conosce uno strumento, o utilità, che guarda una workstation e monitora qualsiasi tentativo di usare ntlm o ldap? o per quella materia, qualsiasi strumento che controlli qualsiasi tentativo con qualsiasi protocollo usato per l’autenticazione del dominio?

Abbiamo provato ogni strumento di log AD / visualizzatore di eventi / log del controller di dominio che possiamo trovare per capire questo, ma devo ancora trovare uno strumento che effettivamente guarda la workstation, non il controller di dominio, e controlla qualsiasi tentativo di autenticazione contro il dominio. Esiste?