none
Account Locked, Bad Passwort, ActiveSync, w3wp.exe, MSExchangeSyncAppPool RRS feed

  • Frage

  • hallo ihr Gurus,

    mein Kollege hat es mit einem alten Andriod Tablet geschafft das er täglich zig mal gesperrt wird. Das Tablet hat er ausgeschalten Problem bliebt. ActiveSync disabled Problem bleibt. OWA disabled Handy Partnerschaft gelöscht.

    ProcExp sagt User XYZ w3wp.exe MSExchangeSyncAppPool dabei !!!!

    iisreset - jetzt passt es wieder, er wird nicht mehr gesperrt. (hat mich 1/2 Tage Arbeitszeit gekostet, das zu finden)

    Er meint jetzt das darf nicht sein, dass man nur eine UserID wissen muss und könnte so euren Account sperren?

    Stimmt das, oder hat sich da etwas mit dem Ex2016 CU 5 verrennt.

    Zu früh gefreut. Der User wird jetzt leider wieder alle 6-8 Minuten gesperrt. Verursacher wäre laut Log der Exchange? Process mit dem User läuft keiner mehr?


    Chris


    Freitag, 14. April 2017 10:35

Antworten

  • Hallo Chris,

    spontane Idee hätte ich auch keine, wie wir denn der Exchange veröffentlicht, sprich, was ist zwischen der weiten Welt und dem 2016CU5?

    Was sprechen die IIS-Logs?

    Hat der User mehr als ein Gerät das EAS spricht?

    Btw/OT: Androiden sind bei uns gesperrt.

    ;)


    Gruß Norbert

    • Als Antwort markiert -- Chris -- Samstag, 15. April 2017 07:31
    Freitag, 14. April 2017 20:41
    Moderator
  • Hallo Chris,

    Du fragst: "Wenn kein ActiveSync OWA aktiv und alle Handy Partnerschaften gelöscht sind, darf es nicht sein dass ein Handy deinen ACCOUNT sperrt. Stell dir vor ich wüsste nur deine OWA E-Mail und könnte dich ständig sperren. Das wäre echt schlimm. "

    Ja wenn Du den UPN eine Benutzers kennst und die Exchange Dienste ohne Pre-Authentifizierung erreichbar sind, ist genau das ein DoS Szenario. Egal ob Du OWA oder AS deaktiviert hast. Denn die Dienste müssen den Benutzer ja erst kennen, bevor sie feststellen können, das OWA / AS für dieses Konto gesperrt sind.

    Das kannst Du nur verhindern in dem Du eine Art Zweifaktorauthentifizierung oder Pre-Authentifizierung einsetzt.

    Für Pre-Auth könnte man eine RADIUS- oder auch ADFS Authentifizierung nutzen. In beiden ist es möglich, vom im AD festgelegten Account Logout Richtlinen, abweichende Logoutrichtlinien zu definieren. Im AD legt man 10 fehlerhafte Versuche als Grenzwert fest und im Pre-Auth 9. Dann wird das Konto für die Verwendung von RADIUS- oder ADFS gesperrt, bleibt aber im Active Directory weiterhin nutzbar.

    Quelle: https://blogs.technet.microsoft.com/rmilne/2014/05/05/enabling-adfs-2012-r2-extranet-lockout-protection/

    Eine Art Zweifaktorauthentifizierung: Deine externen Geräte müssen vor dem Ansprechen der Exchange Dienste erst ein SSL-Zertifikat vorweisen (Also eine Art SSL-VPN). Also erst nach der erfolgreichen Autorisierung des Gerätes, kann eine Verbindung zur eigentlichen Anwendung hergestellt werden und die Übergabe UPN + (Password hash) kann beginnen.

    Gruß Malte

    • Als Antwort markiert -- Chris -- Dienstag, 18. April 2017 05:23
    Montag, 17. April 2017 16:21

Alle Antworten

  • Hallo Chris,

    spontane Idee hätte ich auch keine, wie wir denn der Exchange veröffentlicht, sprich, was ist zwischen der weiten Welt und dem 2016CU5?

    Was sprechen die IIS-Logs?

    Hat der User mehr als ein Gerät das EAS spricht?

    Btw/OT: Androiden sind bei uns gesperrt.

    ;)


    Gruß Norbert

    • Als Antwort markiert -- Chris -- Samstag, 15. April 2017 07:31
    Freitag, 14. April 2017 20:41
    Moderator
  • moin Norbert,

    ich denke da hat sich wieder ein BUG im CU5 eingeschlichen?

    IIS Log sagt heute HTTP/1.1 TouchDown(MSRPC)/9.0.00437/ - - Server.company.com:444 200 0 0 821 8360

    und bereits 300 Logonfehler! Wenn kein ActiveSync OWA aktiv und alle Handy Partnerschaften gelöscht sind, darf es nicht sein dass ein Handy deinen ACCOUNT sperrt. Stell dir vor ich wüsste nur deine OWA E-Mail und könnte dich ständig sperren. Das wäre echt schlimm.

    ich hab es Forum auch einmal geposted

    https://social.technet.microsoft.com/Forums/office/en-US/324c60c9-c0af-4e75-b89a-204d142dc80c/account-locked-bad-passwort-ex2016-cu5?forum=Exch2016GD

    werde aber vermutlich nächste Woche einen CASE aufmachen müssen.

    Gruß


    Chris

    Samstag, 15. April 2017 07:04
  • Nachtrag: habe mich versehen. Die letzten Account sperren waren gesterm 3:25 PM. Zumindest hat dieser Spuk endlich ein Ende. Ich werde jetzt noch beide DC und Exchange durchstarten.


    Chris

    Samstag, 15. April 2017 07:29
  • Hallo Chris,

    Du fragst: "Wenn kein ActiveSync OWA aktiv und alle Handy Partnerschaften gelöscht sind, darf es nicht sein dass ein Handy deinen ACCOUNT sperrt. Stell dir vor ich wüsste nur deine OWA E-Mail und könnte dich ständig sperren. Das wäre echt schlimm. "

    Ja wenn Du den UPN eine Benutzers kennst und die Exchange Dienste ohne Pre-Authentifizierung erreichbar sind, ist genau das ein DoS Szenario. Egal ob Du OWA oder AS deaktiviert hast. Denn die Dienste müssen den Benutzer ja erst kennen, bevor sie feststellen können, das OWA / AS für dieses Konto gesperrt sind.

    Das kannst Du nur verhindern in dem Du eine Art Zweifaktorauthentifizierung oder Pre-Authentifizierung einsetzt.

    Für Pre-Auth könnte man eine RADIUS- oder auch ADFS Authentifizierung nutzen. In beiden ist es möglich, vom im AD festgelegten Account Logout Richtlinen, abweichende Logoutrichtlinien zu definieren. Im AD legt man 10 fehlerhafte Versuche als Grenzwert fest und im Pre-Auth 9. Dann wird das Konto für die Verwendung von RADIUS- oder ADFS gesperrt, bleibt aber im Active Directory weiterhin nutzbar.

    Quelle: https://blogs.technet.microsoft.com/rmilne/2014/05/05/enabling-adfs-2012-r2-extranet-lockout-protection/

    Eine Art Zweifaktorauthentifizierung: Deine externen Geräte müssen vor dem Ansprechen der Exchange Dienste erst ein SSL-Zertifikat vorweisen (Also eine Art SSL-VPN). Also erst nach der erfolgreichen Autorisierung des Gerätes, kann eine Verbindung zur eigentlichen Anwendung hergestellt werden und die Übergabe UPN + (Password hash) kann beginnen.

    Gruß Malte

    • Als Antwort markiert -- Chris -- Dienstag, 18. April 2017 05:23
    Montag, 17. April 2017 16:21