none
Einzelne Benutzer immer wieder gesperrt RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    Ich habe ein Problem mit einzelnen Benutzern unserer Domäne.

    Für den Umstieg auf Office 365 mussten wir den UPN (User Principal Name) ändern. Seitdem gibt es Probleme mit einer Hand voll Benutzer, deren Konten immer wieder gesperrt werden.

    - Windows 2012 R2 Server

    Ich habe schon versucht mit dem Tool "altool" herauszufinden woher der Fehler kommt. Die beiden DC´s beschuldigen sich dann immer gegenseitig.Ich glaube ich habe noch nicht ganz verstanden wie das Tool funktioniert.

    Aus dem Ereignislog bin ich auch nicht schlau geworden. Allerdings sehe ich bei den betroffenen Nutzern Kerberosmeldungen mit der ID 4771.  

    Kennt jemand ein Tool mit dem ich weiter nach der Ursache suchen kann? Ich bin für jeden Tipp dankbar.

    Grüße

    Chris

    Dienstag, 27. Januar 2015 12:16
    |

Alle Antworten

  • Discussion
    Anmelden
    1
    Anmelden

    Hallo Chris,

    versuchen Sie die Malware zu scannen und löschen Sie die Cached-Session. Wenn Sie das bisher nicht versucht haben natürlich.

    Gruß,

    Teodora

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.


    Mittwoch, 28. Januar 2015 10:08
    |
    Moderator
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Teodora,

    Der Scan hat leider keinen Erfolg gebracht.

    Wo löscht man denn die Cached Sessions?

    Grüße Chris

    Dienstag, 3. Februar 2015 06:45
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Hallo Chris,

    besser versuchen Sie folgendes:

    1. Kerberos preauthentication disabled

    2. How to prevent Kerberos login errors due to token bloat

    • Start Registry Editor      (Regedt32.exe).
    • Locate and click the following      key in the registry:
           System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    • If this key is not present,      create the key. To do so:
      • Click the following key       in the registry:
              System\CurrentControlSet\Control\Lsa\Kerberos
      • On the Edit menu,       click Add Key.
      • Create a Parameters       key.
      • Click the new Parameters       key.
    • On the Edit menu, click Add      Value, and then add the following registry value:
           Value name: MaxTokenSize
                 Data type: REG_DWORD
                 Radix: Decimal
                 Value data: 48000
    • Quit Registry Editor.

    3. Kerberos zwingen, TCP anstelle von UDP in Windows verwenden

    Sie können "MaxPacketSize" in 1 zu erzwingen, dass die Clients für die Verwendung von Kerberos-Datenverkehr über TCP ändern.

    • Starten Sie den Registry Editor.
    • Suchen Sie und klicken Sie dann auf den folgenden      Registrierungsunterschlüssel:
          • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
          • Hinweis:Wenn dieParameterSchlüssel nicht vorhanden sind, erstellen Sie ihn.
          • Klicken Sie im Menü Bearbeiten auf neu,      und klicken Sie dann auf DWORD-Wert.
        • Geben Sie "MaxPacketSize", und      drücken Sie dann die EINGABETASTE.
      • Doppelklicken Sie auf "MaxPacketSize",      geben Sie 1 im Feld Wert ein, aktivieren Sie die Option      " Decimal ", und klicken Sie dann auf OK.
    • Schliessen Sie den Registrierungseditor.

    Starten Sie den Computer neu.

    Gruß,

    Teodora

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.



    Dienstag, 3. Februar 2015 11:33
    |
    Moderator