Reddit – sysadmin – forensIT – movendo perfis de um domínio para outro…. e as contas continuam bloqueando no domínio antigo

Então recentemente temos usado o forensIT (https://www.forensit.com/) para mover perfis em estações de trabalho de um domínio antigo para um domínio novo. Tenho ficado muito impressionado com o ForensIT – o produto parece funcionar muito bem para o que faz, e é uma grande poupança de tempo (não sou afiliado a eles de forma alguma).

Aqui está o problema – o nome de utilizador para a conta de utilizador é o mesmo para ambos os domínios, tanto o antigo como o novo – tem de permanecer assim. Quando nos afastamos do domínio antigo para o novo domínio, algo na estação de trabalho está a autenticar-se contra o domínio antigo, mesmo que o computador esteja agora no novo domínio. Isto está a causar um bloqueio de conta no domínio antigo. Eu devo notar que o computador ainda está em uma rede que pode acessar o domínio antigo, e precisa manter essa capacidade.

i.e: mover estação de trabalho do domínioA para o domínioB com jsmith conta/perfil. Uma vez que a estação de trabalho está no domainB, vemos tentativas de conexão e pedido de autenticação ldap no domainA, mesmo que nada mais deva tentar se autenticar contra domainA.

Alguém sabe de uma ferramenta, ou utilitário, que olha para uma estação de trabalho e monitora qualquer tentativa de usar ntlm ou ldap? ou, já agora, qualquer ferramenta que monitore qualquer tentativa com qualquer protocolo usado para autenticação de domínio?

Tentamos todas as ferramentas de log de AD/event viewer/domain controller log que podemos encontrar para descobrir isso, mas ainda não encontrei uma ferramenta que realmente olhe para a estação de trabalho, não para o controlador de domínio, e monitore qualquer tentativa de autenticação contra o domínio. Ela existe?