Reddit – sysadmin – forensIT – flytta profiler från en domän till en annan….och konton fortsätter att låsas på den gamla domänen

Så nyligen har vi använt forensIT (https://www.forensit.com/) för att flytta profiler på arbetsstationer från en gammal domän till en ny domän. Jag har faktiskt varit mycket imponerad av ForensIT – produkten verkar fungera mycket bra för vad den gör, och är en enorm tidsbesparing (jag är inte ansluten till dem på något sätt).

Här är problemet – användarnamnet för användarkontot är detsamma för båda domänerna, både den gamla och den nya – det måste förbli så. När vi flyttar från den gamla domänen till den nya domänen är det något på arbetsstationen som autentiserar mot den gamla domänen, trots att datorn nu finns på den nya domänen. Detta orsakar en kontolåsning på den gamla domänen. Jag bör notera att datorn fortfarande finns i ett nätverk som kan få tillgång till den gamla domänen och måste behålla den möjligheten.

dvs: flytta arbetsstation från domänA till domänB med konto/profil jsmith. När arbetsstationen är på domänB ser vi anslutningsförsök och ldap-autentiseringsbegäran på domänA, trots att inget ska försöka autentisera mot domänA längre.

Känner någon till ett verktyg, eller verktyg, som tittar på en arbetsstation och övervakar alla försök att använda ntlm eller ldap? eller för den delen något verktyg som övervakar varje försök med något protokoll som används för domänautentisering?

Vi har försökt med alla AD-logg/evenemangsvisare/domänkontrollantloggverktyg som vi kan hitta för att reda ut det här, men jag har ännu inte hittat ett verktyg som faktiskt tittar på arbetsstationen, inte domänkontrollanten, och övervakar varje försök att autentisera mot domänen. Finns det?