Reddit – sysadmin – forensIT – przenoszenie profili z jednej domeny do drugiej…. a konta wciąż blokują się w starej domenie

Więc ostatnio używaliśmy forensIT (https://www.forensit.com/) do przenoszenia profili na stacjach roboczych ze starej domeny do nowej. Jestem pod dużym wrażeniem ForensIT – produkt wydaje się działać bardzo dobrze i jest ogromną oszczędnością czasu (nie jestem z nimi w żaden sposób powiązany).

Problem polega na tym, że nazwa użytkownika dla konta użytkownika jest taka sama dla obu domen, zarówno starej, jak i nowej – musi tak pozostać. Kiedy przechodzimy ze starej domeny do nowej, coś na stacji roboczej uwierzytelnia się względem starej domeny, mimo że komputer jest teraz w nowej domenie. Powoduje to blokadę konta w starej domenie. Powinienem zauważyć, że komputer jest nadal w sieci, która może uzyskać dostęp do starej domeny i musi utrzymać tę zdolność.

i.e: przenieść stację roboczą z domenyA do domenyB z kontem/profilem jsmith. Kiedy stacja robocza znajduje się w domenieB, widzimy próby połączenia i żądania uwierzytelnienia ldap w domenieA, mimo że nic nie powinno już próbować uwierzytelniać się w domenieA.

Czy ktoś zna narzędzie, które patrzy na stację roboczą i monitoruje każdą próbę użycia ntlm lub ldap? lub jakiekolwiek narzędzie, które monitoruje każdą próbę użycia jakiegokolwiek protokołu używanego do uwierzytelniania domeny?

Próbowaliśmy każdego logu AD/event viewer/narzędzia logu kontrolera domeny, które możemy znaleźć, aby to rozgryźć, ale jeszcze nie znalazłem narzędzia, które faktycznie patrzy na stację roboczą, a nie na kontroler domeny i monitoruje każdą próbę uwierzytelnienia w domenie. Czy takie narzędzie istnieje?