none
SBS 2011 - SBS Adminkonto ist "gesperrt" RRS feed

  • Frage

  • Hi,

    wie aus heiterem Himmel ist auf einmal das SBS Admin Konto im AD besperrt, so dass sich der SBS Admin nicht mehr anmelden kann.

    Zum Glück habe ich auf diesem System noch den normalen "administrator" aktiv. Damit gelingt die Anmeldung problemlos.

    Auf der Spurensuche bin ich in den Kontoeinstellungen des SBS Admin fündig geworden. Dort steht der bekannte Spruch "Heben Sie die Kontosperrung auf. Das Konto ist derzeit auf dem Active Directory-Domänencontroller gesperrt". Also den Haken gesetzt - > Übernehmen geklickt und OK. Dann der Versuch der Anmeldung - wieder gescheitert. Die Anmeldung meldet: "Das angesprochene Konto ist momentan gesperrt und kann nicht für die Anmeldung verwendet werden"

    Also nochmals im AD geprüft und wieder steht der Spruch beim SBS Admin drinnen: "Heben Sie die Kontosperrung auf. Das Konto ist derzeit auf dem Active Directory-Domänencontroller gesperrt". Also nochmals den Haken gesetzt - Übernehmen - OK -danach gleich noch mal den SBS Admin geöffnet und beim Konto geprüft - der Spruch steht immer noch drinnen. Wenn ich ganz schnell bin (als nach dem Haken setzen und OK, wieder auf Konto klicke), erscheint der andere Spruch: "Kontosperrung aufheben". Wenn ich hier den Haken setze und OK klicke und danach wieder auf das Konto gehe, steht auf einmal wieder der Spruch: Heben Sie die Kontosperrung auf. Das Konto ist derzeit auf dem Active Directory-Domänencontroller gesperrt" drinnen. usw. usw. Ein Teufelskreis!

    Ich schätze mal so nach 2 Sekunden wird das Konto einfach wieder "gesperrt". Was kann das sein?

    Schadprogramm will ich ausschließen, da alles mehrfach mit unterschiedlichen Scanner gescannt wurde. Ein Ghost-Nutzer kann es auch nicht sein, denn Abends wenn alle APC aus sind und auch die Verbindung zum Internet getrennt ist (zum Test), passiert das gleiche. Hätte ja gedacht hier läuft eine Art DOS Attacke, die mir das Konto automatisch sperrt.

    Dann dachte ich, es ist ein Dienst, wer evtl. falsche Anmeldedaten hat und sich daher in der Schleife zu Tote anmeldet. Da es nur was aus dem SBS Server an sich sein könnte (alles andere ist ja aus) dort aber kein Dienst die SBS Admin an sich verwendet, könnte ich dies ebenfalls ausschließen.

    Wer oder was käme noch als Verdächtiger in Frage?

    In welchem Log könnte ich einsehen, warum AD dieses Konto immer sperrt?

    Wie bekomme ich das Konto auf Dauer sauber "entsperrt"

    Danke für alle die Helfen können.


    Danke und liebe Grüße Oliver Richter

    Donnerstag, 8. März 2012 21:18

Antworten

  • Aktionsplan:

    1. Erweitern der Überwachung des Domain Controllers um "Audit directory service access - Success" - "Audit account management - Success"

    s. http://technet.microsoft.com/en-us/library/cc728087(WS.10).aspx und http://technet.microsoft.com/en-us/library/cc737542(WS.10).aspx

    Hintergrundinformationen:

    Zielsysteme bis Windows Server 2008:

    How to use Group Policy to configure detailed security auditing settings for Windows Vista-based and Windows Server 2008-based computers in a Windows Server 2008 domain, in a Windows Server 2003 domain, or in a Windows 2000 domain.
    http://support.microsoft.com/kb/921469/en-us

    Zielsystem ab Windows Server 2008 R2 (s.a.: http://technet.microsoft.com/en-us/library/dd692792.aspx):

    Advanced Security Audit Policy Step-by-Step Guide
    http://technet.microsoft.com/en-us/library/dd408940.aspx
    -> Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies

    2. Aktivieren der jeweiligen Überwachung für die des gesperrten Kontos enthaltende OU:

       -> "Active Directory Users and Computers"
       -> Navigieren zu der OU, in der sich das gesperrte Objekt befindet
       -> Eigenschaft der OU
       -> Security
       -> Advanced
       -> Auditing

    Freitag, 9. März 2012 05:34
    Moderator
  • Hi

    Ich bin nun doch bei den Event-Log -> Sicherheit fündig geworden. Der Dienst für CA Arcserve scheint hier der Übertäter zu sein.

    Fehler beim Anmelden eines Kontos.

    Antragsteller:
     Sicherheits-ID:  SYSTEM
     Kontoname:  SBS01-SRV$
     Kontodomäne:  ZENTRALE
     Anmelde-ID:  0x3e7

    Anmeldetyp:   3

    Konto, für das die Anmeldung fehlgeschlagen ist:
     Sicherheits-ID:  NULL SID
     Kontoname:  admin
     Kontodomäne:  ZENTRALE

    Fehlerinformationen:
     Fehlerursache:  Unbekannter Benutzername oder ungültiges Kennwort.
     Status:   0xc000006d
     Unterstatus::  0xc000006a

    Prozessinformationen:
     Aufrufprozess-ID: 0xd930
     Aufrufprozessname: C:\Program Files (x86)\CA\ARCserve Backup\tapeeng.exe

    Netzwerkinformationen:
     Arbeitsstationsname: SBS01-SRV
     Quellnetzwerkadresse: -
     Quellport:  -

    Detaillierte Authentifizierungsinformationen:
     Anmeldeprozess:  Advapi 
     Authentifizierungspaket: Negotiate
     Übertragene Dienste: -
     Paketname (nur NTLM): -
     Schlüssellänge:  0

    Wenn ich diesen Dienst stoppe, erfolgt keine Sperrung mehr dieses SBS Admin Kontos. Nur jetzt stehe ich vor dem Problem, warum tut dieser Dienst das?

    Die Anmeldung des Dienster läuft über "lokales system" - aber selbst wenn ich den Dienst auf z.B. administrator + Paswort ändere (nicht auf admin!), dann meldet das event-log noch das gleiche. Wo kann denn so ein Dienst noch zusätzlich den Nutzer "admin" zu Anmeldung heranziehen?

    Hat jemand eine Idee dazu?


    Danke und liebe Grüße Oliver Richter

    Freitag, 9. März 2012 13:55
  • @Oliver Sommer

    Auf die Liste nicht verwendbarer Softwarehersteller würde ich CA nicht gleich setzen. Arcserve ist alles in allem eine Lösung mit der wir seit Jahrzehnten zufrieden sind.

    In meinem Fall hat aber mal wieder vorrangig der CA Support versagt. Obwohl ich schon in etwa darauf hinweisen konnte, wo ich das Problem vermute, tappte der Support drei Tage lang im Dunkeln. Letzte Instanz wäre eine vollkommme Neuinstallation gewesen - was ich aber ablehnte, weil abzusehen war, bei der nächsten Passwortänderung vor dem gleichen Dilemma zu stehen. Erst ein guter Kontakt zu einem Senior Consultant bei CA bracht die Lösung in 30 sek. (!). Warum dies passierte konnte er zwar auch nicht direkt klären, doch im Systemmanager von Arcserve kann man das Windows-Nutzerkonto (in diesem Fall der Admin) im Passwort "nachführen" - sprich also das neue Kennwort des Admin für CA Arcserve erneuern. Damit war es behoben.

    OK, ich gebe Dir Recht, warum bei einer Software eine globale Windows Passwortänderung per Hand nachgeführt werden muss ist schon arg eigenartig. Was dieser Systemaccount + Passwort aber mit einem Dienst, welches als lokales System läuft und "nur" für die Laufwerkssteuerung verantwortlich zeichnet zu tun hat, bleibt schleierhaft. Allein der zeitliche Aufwand für's finden der Ursache und dann noch deren Behebung sorgt bei mir für Kopfschütteln - aber daran hat man sich über all die Jahre gewöhnt. Zu Novell ELS Zeiten hätte das bestimmt mehrere Wochen gedauert - da greift zum Glück auch hier das Mooresche Gesetz ;-))

    Danke an alle die halfen.


    Danke und liebe Grüße Oliver Richter

    Mittwoch, 21. März 2012 21:14

Alle Antworten

  • Aktionsplan:

    1. Erweitern der Überwachung des Domain Controllers um "Audit directory service access - Success" - "Audit account management - Success"

    s. http://technet.microsoft.com/en-us/library/cc728087(WS.10).aspx und http://technet.microsoft.com/en-us/library/cc737542(WS.10).aspx

    Hintergrundinformationen:

    Zielsysteme bis Windows Server 2008:

    How to use Group Policy to configure detailed security auditing settings for Windows Vista-based and Windows Server 2008-based computers in a Windows Server 2008 domain, in a Windows Server 2003 domain, or in a Windows 2000 domain.
    http://support.microsoft.com/kb/921469/en-us

    Zielsystem ab Windows Server 2008 R2 (s.a.: http://technet.microsoft.com/en-us/library/dd692792.aspx):

    Advanced Security Audit Policy Step-by-Step Guide
    http://technet.microsoft.com/en-us/library/dd408940.aspx
    -> Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies

    2. Aktivieren der jeweiligen Überwachung für die des gesperrten Kontos enthaltende OU:

       -> "Active Directory Users and Computers"
       -> Navigieren zu der OU, in der sich das gesperrte Objekt befindet
       -> Eigenschaft der OU
       -> Security
       -> Advanced
       -> Auditing

    Freitag, 9. März 2012 05:34
    Moderator
  • Danke @Tobias

    Was muss ich denn alles beim Auditing in der OU einstellen? Hier stehen doch zig Zugriffswerte - welche wären hier von Interesse?

    Ich könnte doch auch das Auditing nur beim betreffenden SBS Admin Nutzer aktivieren- oder?

    Wo kann ich dann die Ergebnisse einsehen?

    Vielen Dank für eine kleine Hilfe dazu.


    Danke und liebe Grüße Oliver Richter

    Freitag, 9. März 2012 12:52
  • Hi

    Ich bin nun doch bei den Event-Log -> Sicherheit fündig geworden. Der Dienst für CA Arcserve scheint hier der Übertäter zu sein.

    Fehler beim Anmelden eines Kontos.

    Antragsteller:
     Sicherheits-ID:  SYSTEM
     Kontoname:  SBS01-SRV$
     Kontodomäne:  ZENTRALE
     Anmelde-ID:  0x3e7

    Anmeldetyp:   3

    Konto, für das die Anmeldung fehlgeschlagen ist:
     Sicherheits-ID:  NULL SID
     Kontoname:  admin
     Kontodomäne:  ZENTRALE

    Fehlerinformationen:
     Fehlerursache:  Unbekannter Benutzername oder ungültiges Kennwort.
     Status:   0xc000006d
     Unterstatus::  0xc000006a

    Prozessinformationen:
     Aufrufprozess-ID: 0xd930
     Aufrufprozessname: C:\Program Files (x86)\CA\ARCserve Backup\tapeeng.exe

    Netzwerkinformationen:
     Arbeitsstationsname: SBS01-SRV
     Quellnetzwerkadresse: -
     Quellport:  -

    Detaillierte Authentifizierungsinformationen:
     Anmeldeprozess:  Advapi 
     Authentifizierungspaket: Negotiate
     Übertragene Dienste: -
     Paketname (nur NTLM): -
     Schlüssellänge:  0

    Wenn ich diesen Dienst stoppe, erfolgt keine Sperrung mehr dieses SBS Admin Kontos. Nur jetzt stehe ich vor dem Problem, warum tut dieser Dienst das?

    Die Anmeldung des Dienster läuft über "lokales system" - aber selbst wenn ich den Dienst auf z.B. administrator + Paswort ändere (nicht auf admin!), dann meldet das event-log noch das gleiche. Wo kann denn so ein Dienst noch zusätzlich den Nutzer "admin" zu Anmeldung heranziehen?

    Hat jemand eine Idee dazu?


    Danke und liebe Grüße Oliver Richter

    Freitag, 9. März 2012 13:55
  • Software und speziell deren Dienste sollten sich niemals mit einem Adminkonto, sonderen immer nur mit speziell für die Software erstellen Dienste-Konten mit komplexen Kennworten anmelden!

    Damit hätte auch dieses Problem vermieden werden können!


    SBS Tipps unter: SBSfaq.de.de

    Oliver Sommer | MVP SBS | TrinityComputer.de | Fon +49 (5231) 458986-00
    SBS geeignete SSL Zertifikate von VeriSign/Thawte mit 3 Jahren Laufzeit für 95 EUR!! www.SBSTools.de
    Wake ON LAN (WOL) Erweiterung für SBS 2011, 2008 und 2003: www.SBSTools.de

    Samstag, 10. März 2012 21:09
    Moderator
  • @Oliver Sommer,

    Schon klar was Du schreibst, vielleicht hatte ich es auch nicht so direkt rüber gebracht. Es läuft kein (!!!) Dienst-Konto mit der Anmeldung des Admin-Kontos!!! Das würde ich auch nie machen. Einzig die Software wurde mit der Admin Anmeldung installiert - nicht mehr und nicht weniger. Der beteffendes Dienst läuft als "lokales System" wo aber die Software intern das mit der Adminanmeldung verknüpft hat, konnte ich nicht finden. Hier muss wohl der Hersteller ran. Das Konto läuft auch bei zig anderen SBS Servern so. Nur eben in diesem Fall wurde kurz (einen Tag später) nach der Installation das Admin Kennwort geändert. Warum das aber mit einem Dienst für lokales System verknüpft kann ich nicht nachvollziehen. Evtl. ist dies aber auch nur eine sekundäre Erscheinung und die Problem mit der Anmeldung liegt wo ganz anders. Mal sehen, was ich noch finde.


    Danke und liebe Grüße Oliver Richter

    Montag, 12. März 2012 08:29
  • Ein weiterer Grund für mich CA auf meine Liste nicht mehr verwendbarer Softwarehersteller zu setzten! :)

    SBS Tipps unter: SBSfaq.de.de

    Oliver Sommer | MVP SBS | TrinityComputer.de | Fon +49 (5231) 458986-00
    SBS geeignete SSL Zertifikate von VeriSign/Thawte mit 3 Jahren Laufzeit für 95 EUR!! www.SBSTools.de
    Wake ON LAN (WOL) Erweiterung für SBS 2011, 2008 und 2003: www.SBSTools.de


    Montag, 12. März 2012 09:50
    Moderator
  • @Oliver Sommer

    Auf die Liste nicht verwendbarer Softwarehersteller würde ich CA nicht gleich setzen. Arcserve ist alles in allem eine Lösung mit der wir seit Jahrzehnten zufrieden sind.

    In meinem Fall hat aber mal wieder vorrangig der CA Support versagt. Obwohl ich schon in etwa darauf hinweisen konnte, wo ich das Problem vermute, tappte der Support drei Tage lang im Dunkeln. Letzte Instanz wäre eine vollkommme Neuinstallation gewesen - was ich aber ablehnte, weil abzusehen war, bei der nächsten Passwortänderung vor dem gleichen Dilemma zu stehen. Erst ein guter Kontakt zu einem Senior Consultant bei CA bracht die Lösung in 30 sek. (!). Warum dies passierte konnte er zwar auch nicht direkt klären, doch im Systemmanager von Arcserve kann man das Windows-Nutzerkonto (in diesem Fall der Admin) im Passwort "nachführen" - sprich also das neue Kennwort des Admin für CA Arcserve erneuern. Damit war es behoben.

    OK, ich gebe Dir Recht, warum bei einer Software eine globale Windows Passwortänderung per Hand nachgeführt werden muss ist schon arg eigenartig. Was dieser Systemaccount + Passwort aber mit einem Dienst, welches als lokales System läuft und "nur" für die Laufwerkssteuerung verantwortlich zeichnet zu tun hat, bleibt schleierhaft. Allein der zeitliche Aufwand für's finden der Ursache und dann noch deren Behebung sorgt bei mir für Kopfschütteln - aber daran hat man sich über all die Jahre gewöhnt. Zu Novell ELS Zeiten hätte das bestimmt mehrere Wochen gedauert - da greift zum Glück auch hier das Mooresche Gesetz ;-))

    Danke an alle die halfen.


    Danke und liebe Grüße Oliver Richter

    Mittwoch, 21. März 2012 21:14
  • Ich bleibe bei meiner Aussage zu CA.

    Warum ist da nicht ein entsprechend berechtigtes Dienstekonto mit extrem komplexen, aber nicht ablaufendem Kennwort eingetragen?


    SBS Tipps unter: SBSfaq.de

    Oliver Sommer | MVP SBS | TrinityComputer.de | Fon +49 (5231) 458986-00
    SBS geeignete SSL Zertifikate von VeriSign/Thawte mit 3 Jahren Laufzeit für 95 EUR!! www.SBSTools.de
    Wake ON LAN (WOL) Erweiterung für SBS 2011, 2008 und 2003: www.SBSTools.de

    Dienstag, 27. März 2012 20:15
    Moderator