none
User gesperrt, Bad Password RRS feed

  • Frage

  • moin,

    mein armer Kollege ist seit 3 Tage am Verzweifeln.

    sein User wird täglich, stündlich gesperrt. leider sind auf beiden AD Server extrem viele User über 1000 im Security Log zweck AuditTool.

    Kann es auch sein, dass ein Outlook es ständig sperrt. Schedule Task alles schon kontrolliert. Drive Map kontrolliert.

    er verzweifelt schon langsam. Wir erstellen nun ein neues Windows Profil.

    Handy Partnerschaft habe ich gelöscht! ActiveSync habe ich disabled.

    AD - Security - LOG

    Source             : Microsoft-Windows-Security-Auditing
    ReplacementStrings : {XYZ, S-1-5-21-86884276-1384779499-1097073633-1054, krbtgt/firma, 0x40810010...}
    InstanceId         : 4771
    TimeGenerated      : 20.06.2017 11:25:20
    TimeWritten        : 20.06.2017 11:25:20
    UserName           :
    Site               :
    Container          :

    EventID            : 4771
    MachineName        : Server.firma.de
    Data               : {}
    Index              : -1374972253
    Category           : (14339)
    CategoryNumber     : 14339
    EntryType          : FailureAudit
    Message            : Kerberos pre-authentication failed.
                        
                         Account Information:
                             Security ID:        S-1-5-21-86884276-1384779499-1097073633-1054
                             Account Name:        XYZ


    Chris


    Dienstag, 20. Juni 2017 10:08

Antworten

  • Habt Ihr das auch schon gesichtet:

    https://social.technet.microsoft.com/wiki/contents/articles/32933.how-to-detect-who-disabled-a-user-account-in-active-directory.aspx

    https://www.windowspro.de/marcel-kueppers

    I write here only in private interest

    Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.

    • Als Antwort markiert -- Chris -- Mittwoch, 21. Juni 2017 06:51
    Dienstag, 20. Juni 2017 11:58
  • Unter MachineName findest Du doch den Client der für die Authentifizierung verwendet wird. Das grenzt es doch schon mal ein.

    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012
    Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)

    • Als Antwort markiert -- Chris -- Mittwoch, 21. Juni 2017 06:52
    Dienstag, 20. Juni 2017 11:38
  • sein User wird täglich, stündlich gesperrt. leider sind auf beiden AD Server extrem viele User über 1000 im Security Log zweck AuditTool.

    Kann es auch sein, dass ein Outlook es ständig sperrt. Schedule Task alles schon kontrolliert. Drive Map kontrolliert.

    er verzweifelt schon langsam. Wir erstellen nun ein neues Windows Profil.

    Handy Partnerschaft habe ich gelöscht! ActiveSync habe ich disabled.


    Hi,

    natürlich kann ein Outlook (Web) die Ursache sein. Ab einer bestimmten Größe ist das Event log hier völlig überfrachtet und andere Tools dann immer hilfreich. Eins davon könnt Ihr euch hier ansehen:

    https://www.manageengine.de/produkte-loesungen/active-directory.html

    Gruß,
    Marcel

    https://www.windowspro.de/marcel-kueppers

    I write here only in private interest

    Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.



    Dienstag, 20. Juni 2017 11:43
  • Ich kann das Event 4771 jetzt nicht nachstellen, aber bei einem erfolgreichen Login ist es durchaus ersichtlich wer sich wo angemeldet hat:

    An account was successfully logged on.
    
    Subject:
    	Security ID:		NULL SID
    	Account Name:		-
    	Account Domain:		-
    	Logon ID:		0x0
    
    Logon Information:
    	Logon Type:		3
    	Restricted Admin Mode:	-
    	Virtual Account:		No
    	Elevated Token:		Yes
    
    Impersonation Level:		Impersonation
    
    New Logon:
    	Security ID:		domain/user
    	Account Name:		user
    	Account Domain:		fqdn
    	Logon ID:		0x3DC56A1
    	Linked Logon ID:		0x0
    	Network Account Name:	-
    	Network Account Domain:	-
    	Logon GUID:		{a0ee3adf-cd01-89d0-ea9c-7995d2fc13fb}
    
    Process Information:
    	Process ID:		0x0
    	Process Name:		-
    
    Network Information:
    	Workstation Name:	-
    	Source Network Address:	IP meines Rechners
    	Source Port:		49873
    
    Detailed Authentication Information:
    	Logon Process:		Kerberos
    	Authentication Package:	Kerberos
    	Transited Services:	-
    	Package Name (NTLM only):	-
    	Key Length:		0
    


    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012
    Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)

    • Als Antwort markiert -- Chris -- Mittwoch, 21. Juni 2017 06:51
    Dienstag, 20. Juni 2017 11:57

Alle Antworten

  • Unter MachineName findest Du doch den Client der für die Authentifizierung verwendet wird. Das grenzt es doch schon mal ein.

    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012
    Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)

    • Als Antwort markiert -- Chris -- Mittwoch, 21. Juni 2017 06:52
    Dienstag, 20. Juni 2017 11:38
  • sein User wird täglich, stündlich gesperrt. leider sind auf beiden AD Server extrem viele User über 1000 im Security Log zweck AuditTool.

    Kann es auch sein, dass ein Outlook es ständig sperrt. Schedule Task alles schon kontrolliert. Drive Map kontrolliert.

    er verzweifelt schon langsam. Wir erstellen nun ein neues Windows Profil.

    Handy Partnerschaft habe ich gelöscht! ActiveSync habe ich disabled.


    Hi,

    natürlich kann ein Outlook (Web) die Ursache sein. Ab einer bestimmten Größe ist das Event log hier völlig überfrachtet und andere Tools dann immer hilfreich. Eins davon könnt Ihr euch hier ansehen:

    https://www.manageengine.de/produkte-loesungen/active-directory.html

    Gruß,
    Marcel

    https://www.windowspro.de/marcel-kueppers

    I write here only in private interest

    Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.



    Dienstag, 20. Juni 2017 11:43
  • da steht der AD Server? Der hilft uns leider nicht. Oder steht da sonst auch der Client der es verursacht?


    Chris

    Dienstag, 20. Juni 2017 11:45
  • das Tool haben wir im Einsatz aber das liest ja auch nur die Security Events?

    Das Tool zeigt noch weniger bzw. ist es noch ziemlich neu für uns. Ich finde zb. die Detailinfo nicht.


    Chris

    Dienstag, 20. Juni 2017 11:46
  • Ich kann das Event 4771 jetzt nicht nachstellen, aber bei einem erfolgreichen Login ist es durchaus ersichtlich wer sich wo angemeldet hat:

    An account was successfully logged on.
    
    Subject:
    	Security ID:		NULL SID
    	Account Name:		-
    	Account Domain:		-
    	Logon ID:		0x0
    
    Logon Information:
    	Logon Type:		3
    	Restricted Admin Mode:	-
    	Virtual Account:		No
    	Elevated Token:		Yes
    
    Impersonation Level:		Impersonation
    
    New Logon:
    	Security ID:		domain/user
    	Account Name:		user
    	Account Domain:		fqdn
    	Logon ID:		0x3DC56A1
    	Linked Logon ID:		0x0
    	Network Account Name:	-
    	Network Account Domain:	-
    	Logon GUID:		{a0ee3adf-cd01-89d0-ea9c-7995d2fc13fb}
    
    Process Information:
    	Process ID:		0x0
    	Process Name:		-
    
    Network Information:
    	Workstation Name:	-
    	Source Network Address:	IP meines Rechners
    	Source Port:		49873
    
    Detailed Authentication Information:
    	Logon Process:		Kerberos
    	Authentication Package:	Kerberos
    	Transited Services:	-
    	Package Name (NTLM only):	-
    	Key Length:		0
    


    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012
    Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)

    • Als Antwort markiert -- Chris -- Mittwoch, 21. Juni 2017 06:51
    Dienstag, 20. Juni 2017 11:57
  • Habt Ihr das auch schon gesichtet:

    https://social.technet.microsoft.com/wiki/contents/articles/32933.how-to-detect-who-disabled-a-user-account-in-active-directory.aspx

    https://www.windowspro.de/marcel-kueppers

    I write here only in private interest

    Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.

    • Als Antwort markiert -- Chris -- Mittwoch, 21. Juni 2017 06:51
    Dienstag, 20. Juni 2017 11:58
  • fällt euch am Client noch ein Tool ein? Process Explorer finde ich zwar zig mal den User/UserID aber das hilft mir leider noch wenig. WireShark ist mir zu kompliziert.

    Chris

    Dienstag, 20. Juni 2017 12:00
  • Sandro,

    mein Kollege hat gestern noch die Schedule Task und Mapped Drive bereinigt und ein neues Profil erstellt. Heute noch kein Ausfall (Locked)!!! Toi Toi Toi

    nur interessehalbe noch eine Frage.

    ich habe jetzt beim Audit auch die Logon / Logoff ergänzt. Was mir auffällt, dass der User jetzt ein paar Mal vorkommt ich aber die GUID im AD nicht findet. Könnte das ein lokaler Service am Client PCs sein? Warum finde ich diese GUIDs nicht?


    Chris

    Mittwoch, 21. Juni 2017 06:51
  • zur Vollständigkeit halber noch eine Info.

    mein Kollege hat beim Account/Passwort never expired und hat das Passwort gestern aufgrund der Troubles auf ein Neues geändert. Das alte entsprach seiner Info nach nicht den aktuellen Passwortrichtlinien (max. Zeichen usw.)

    Es scheint, als ob dieser Vorgang (auch) sehr geholfen hätte.


    Chris

    Mittwoch, 21. Juni 2017 07:04
  • > ich aber die GUID im AD nicht findet.

    Weil eine Logon-GUID nix mit einer Object GUID zu tun hat.

    Mittwoch, 21. Juni 2017 10:29
  • Martin,

    kann man sich die Logon-GUID auch anzeigen lassen? oder ist die dynamisch mit jedem Logon anders.


    Chris

    Mittwoch, 21. Juni 2017 10:47
  • > kann man sich die Logon-GUID auch anzeigen lassen? oder ist die dynamisch mit jedem Logon anders.

    Siehe Antwort im anderen Thread :)

    Mittwoch, 21. Juni 2017 14:19