none
Domainuser werden durchgehend gesperrt RRS feed

  • Frage

  • Hallo zusammen,

    wir haben aktuell das Problem, dass durchgehend mehrere Domainuser auf unserem Domaincontroller (Windows Server 2012 R2) gesperrt werden.
    Die Richtlinien für die Accountsperrung sind wie folgt:

    Kennwortsperrungsschwelle: 10 ungültige Anmeldeversuche
    Zurücksetzungsdauer des Kontosperrungszählers: 10 Minuten



    In der Ereignisanzeige des Sicherheitsprotokolls steht nur folgender Eintrag:

    Ein Benutzerkonto wurde gesperrt.

    Antragsteller:
        Sicherheits-ID:        SYSTEM
        Kontoname:        DC1$
        Kontodomäne:        PROMATIS
        Anmelde-ID:        0x3E7

    Gesperrtes Konto:
        Sicherheits-ID:        PROMATIS\domainuser
        Kontoname:        domainuser

    Weitere Informationen:
        Aufrufcomputername:    


    Da der Aufrufcomputer immer leer ist, wissen wir aktuell nicht von wo aus das falsche Passwort eingegeben wird.
    Lokal an dem Rechner des Mitarbeiters wurde bereits geprüft:

    http://msexchangeguru.com/2012/03/08/ad-lockout/
    Punkt 1 und 2 trefen bei uns nicht zu, da Google für Emails verwendet wird.

    Punkt 3
    Die Browser wurden überprüft und alle Anmeldedaten gelöscht.

    Punkt 4
    Es gab keine gespeicherten Anmeldedaten.

    Punkt 5
    Die Anmeldedaten wurden gelöscht.

    Punkt 6
    Wurde noch nicht getestet.

    Zusätzlich:
    Aufgabenplanung von Windows - leer
    Pausierte VM - nicht vorhanden



    Auf dem Domaincontroller wurde geprüft:

    http://msexchangeguru.com/2012/03/08/ad-lockout/
    Das Microsoft Lockout Status Tool wurde auf unserem Domaincontroller eingerichtet.
    Wenn die .csv aus der netlogon.log generiert wird, werden sehr viele Einträge mit:

    06/09 ,09:31:51,SamLogon: Network logon,PROMATIS\domainuser,,0xC000006A

    angezeigt. Nur kommen wir hier aktuell nicht weiter.



    Der Domainuser wird auf dem Computer bei uns für folgende Aktionen verwendet:
    Computeranmeldung
    SVN
    Wiki
    OpenVPN
    WLAN (übernimmt automatisch das aktuelle Passwort des Domainusers)
    Telefonsoftware (übernimmt automatisch das aktuelle Passwort des Domainusers)
    Netzlaufwerk (werden automatisch über den Domaincontroller gemappt)
    Drucker (werden automatisch über den Domaincontroller gemappt)


    Auf den Smartphones wird der Domainuser nur für das WLAN genutzt.
    Montag, 15. Juni 2015 06:32

Antworten

  • Hallo ,

    ich hatte mal ein ähnliches Problem mit einer 2003er Domäne, Owncloud und Mobiltelefonen. Die Telefone haben sich beim Owncloudserver anmelden versucht und dieser hat dann zuviele Authentifizierungsanfragen mit einem falschen Password gesendet. 

    War auch ein wenig haarig das zu tracken,

    * Den Useraccount weist du ja schon (der der gesperrt wird)

    als nächstes würde ich dir empfehlen auf den DC's das auditing für "failed logon events" einzuschalten:

    https://technet.microsoft.com/en-us/library/cc787567(v=ws.10).aspx

    Darüber erfährst du welcher Client die Sperre auslöst. Wenn du den Rechner hast kannst du dort dann nachsehen was das Problem verursacht. Ich tippe auch wenn du das WLAN schon abgedreht hast über irgendeinen verzahnten Server mit den Mobiltelefone/Tablets über das Datenroaming vom Telefon komunizieren und der dann die Sperre auslöst. Und falls ein User sagt er hat das nicht aktiviert würde ich den Usern einfach mal pauschal nicht vertrauen und es selbst überprüfen :)


    Donnerstag, 25. Juni 2015 18:55

Alle Antworten

  • Hallo,

    Tritt das Problem auch auf wenn man das Smartphone (und allen anderen WLAN Geräten des Nutzers) das WLAN ausschaltet und dann den Benutzer neu frei gibt?

    Gruß Benjamin


    Benjamin Hoch
    MCSA: Microsoft Certified Solutions Associate - SQL Server 2012,
    MCSA: Microsoft Certified Solutions Associate - Windows Server 2012,

    Montag, 15. Juni 2015 07:29
  • Hi,
     
    Am 15.06.2015 08:32, schrieb ChristophKaufmann:
    > wir haben aktuell das Problem, dass durchgehend mehrere Domainuser auf
    > unserem Domaincontroller (Windows Server 2012 R2) gesperrt werden.
     
    Aktivierete Kontosperrung ist eigentlich die geilste DoS Attacke, die
    sogar ein User gegen alle Accounts im AD einsetzen kann ... es wird
    wahrscheinlich dein Smartphone sein, das nach Kennwortwechsel am PC noch
    mit dem alten PW arbeitet und dann den Account sperrt.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Montag, 15. Juni 2015 08:14
  • Hallo,

    das Smartphone hatten wir zuerst auch im Verdacht, haben es jedoch ausgeschlossen, da das Passwort für das WLAN auf dem Smartphone aktuell ist und das Passwort im Zeitraum der Accountsperrungen nicht geändert wurde.

    Grüße

    Christoph

    Dienstag, 16. Juni 2015 07:08
  • Hallo Christoph,

    Dann nehmt erstmal alle Geräte (ohne Ausnahme: PC, Laptop, Tablet, Handy,...) vom Netz (LAN, WLAN, VPN) von dem User. Dann den User freigeben und prüfen ob sich der Account wieder sperrt. Wenn nicht ein Gerät wieder mit dem Netz verbinden. Geht alles gut dann Geräte wieder vom Netz und das nächste probiert und so weiter.

    Wenn sich der Account auch ohne Geräte wieder sperrt gibt es entweder noch ein Gerät oder eine andere Person nutzt die Zugangsdaten (absichtlich oder unabsichtlich).

    Gruß Benjamin


    Benjamin Hoch
    MCSA: Microsoft Certified Solutions Associate - SQL Server 2012,
    MCSA: Microsoft Certified Solutions Associate - Windows Server 2012,

    Dienstag, 16. Juni 2015 09:38
  • Hallo ChristophKaufmann,

    haben die Tipps weitergeholfen? Wenn ja, markieren Sie bitte den entsprechenden Beitrag, der zur Lösung geführt hat, als Antwort. Wenn Sie eine andere Lösung gefunden haben, teilen Sie sie der Community mit, so dass auch andere Benutzer davon profitieren können.

    Bitte beachten Sie, dass ich wegen keiner weiteren Aktivitäten das Thema als Diskussion verschieben werde.

    Mit freundlichen Grüßen

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 25. Juni 2015 16:32
    Moderator
  • Hallo ,

    ich hatte mal ein ähnliches Problem mit einer 2003er Domäne, Owncloud und Mobiltelefonen. Die Telefone haben sich beim Owncloudserver anmelden versucht und dieser hat dann zuviele Authentifizierungsanfragen mit einem falschen Password gesendet. 

    War auch ein wenig haarig das zu tracken,

    * Den Useraccount weist du ja schon (der der gesperrt wird)

    als nächstes würde ich dir empfehlen auf den DC's das auditing für "failed logon events" einzuschalten:

    https://technet.microsoft.com/en-us/library/cc787567(v=ws.10).aspx

    Darüber erfährst du welcher Client die Sperre auslöst. Wenn du den Rechner hast kannst du dort dann nachsehen was das Problem verursacht. Ich tippe auch wenn du das WLAN schon abgedreht hast über irgendeinen verzahnten Server mit den Mobiltelefone/Tablets über das Datenroaming vom Telefon komunizieren und der dann die Sperre auslöst. Und falls ein User sagt er hat das nicht aktiviert würde ich den Usern einfach mal pauschal nicht vertrauen und es selbst überprüfen :)


    Donnerstag, 25. Juni 2015 18:55