AD Benutzer wird immer wieder gesperrt

TheFragger · 19. Januar 2017

Hi,

wir haben in unserer AD seit Montag die Richtlinie gesetzt, dass nach 10x ungültigen Anmeldeversuche das Konto gesperrt wird und dabei haben wir bei allen Usern den Haken gesetzt, dass das Passwort bei der nächsten Anmeldung geändert werden muss.
Nun haben wir mit einem Benutzer das Problem, dass dieser immer wieder gesperrt wird. Und zwar hält es immer ca. 3 Std bis dann der Passwortcounter nach oben geht. Ich habe mal das netlogon.log aktiviert und dort sieht man folgendes (Anhang).
Komisch ist, dass fast jeder PC sich mal versucht mit dem Benutzername anzumelden. Passwort im iPhone für Sync mit dem Exchange wurde auch geändert und funktioniert auch. Ich vermute es liegt an diesen (null)\Username, dass das Konto gesperrt wird?
Auf den PC´s ist weder ein Netzlaufwerk noch sonst etwas mit diesem Benutzername aktiv. Dumm ist nur das ich jetzt nicht sagen kann, ob das schon länger so geht da dir Sperrrichtlinie bisher nicht aktiv war und das Netlog auf der Standardstufe stand.
Ereignisanzeige zeigt mehrmals die ID 4771 und 4776 wo ich allerdings auch noch nicht weitergekommen bin. Könnt ihr mir noch einen schlauen Rat geben was das sein könnte?

Wir haben aktuell:
1 DC
1 Exchange
1 Terminalserver

NorbertFe · 19. Januar 2017

Dann sind dort wohl irgendwelche Tasks oder Laufwerke auf diesen Geräten hinterlegt. Wollte damals auch der Kollege nicht glauben, bis ich ihm das hier gezeigt habe:
04/09 10:58:59 [LOGON] DOMAIN: SamLogon: Transitive Network logon of (null)\example@domain.com from Mac-mini.local (via EXCHANGE01) Entered (Ach ja da war ja noch der Mac-Mini der bla bla ;))

TheFragger · 19. Januar 2017

Ja aber doch nicht auf allen PC´s. Das "Domäne\Username" ist immer der gleiche Benutzer immer von einem anderen Gerät aus.

NorbertFe · 19. Januar 2017

Nee das denkt sich Windows bestimmt aus.

Via QNAP Ich wette es gibt irgendeine APP oder sonstigen Kram der auf die Qnap zugreift und ein Kennwort des Users hinterlegt hat und mit PAT... anfängt

Da du ja schön alles geschwärzt hast, wirst du wohl selber nachschauen müssen, wie und warum da überall der Kram hinterlegt ist.

TheFragger · 19. Januar 2017

Kann man denn noch ein Log aktivieren in dem man sieht welcher Prozess oder auf welchem Port das verursacht wird?

Habe jetzt auf einem betroffenen Client unter "Sicherheit" gesehen, dass dies schon seit Monaten so geht aber eben bisher keine Auswirkung wegen der Richtlinie hatte.
Es gibt dort 100derte solcher Einträge:

Code

Fehler beim Anmelden eines Kontos.


Antragsteller:
	Sicherheits-ID:		NULL SID
	Kontoname:		-
	Kontodomäne:		-
	Anmelde-ID:		0x0


Anmeldetyp:			3


Konto, für das die Anmeldung fehlgeschlagen ist:
	Sicherheits-ID:		NULL SID
	Kontoname:		Liebxxxx
	Kontodomäne:		


Fehlerinformationen:
	Fehlerursache:		Unbekannter Benutzername oder ungültiges Kennwort.
	Status:			0xc000006d
	Unterstatus::		0xc000006a


Prozessinformationen:
	Aufrufprozess-ID:	0x0
	Aufrufprozessname:	-


Netzwerkinformationen:
	Arbeitsstationsname:	\\W2K12DC
	Quellnetzwerkadresse:	x.x.137.104
	Quellport:		62418


Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		NtLmSsp 
	Authentifizierungspaket:	NTLM
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Alles anzeigen

NorbertFe · 19. Januar 2017

Ja logisch seit Monaten keine Auswirkung, wenn ihr die Richtlinie jetzt erst aktiviert habt.

TheFragger · 20. Januar 2017

Also mit dem Netwrix Account Lockout Examiner hab ich nun rausgefunden, dass die fehlerhaften Logins immer vom Domaincontroller scheinbar ausgehen. Nur leider kann dieser auch nicht anziegen durch was.
Das "Audit Logon" habe ich ab ca. 09:35Uhr aktiviert nur leider zeigt dies auch nicht mehr an (siehe Screenshot). Noch eine Idee was es sein könnte?

MGE · 10. Februar 2017

Ich kann aus Erfahrung sagen, dass wir mal das Gleiche Problem hatten. Ein Benutzer wurde auch immer wieder gesperrt und musst über das AD freigeschalten werden.

Was war das Problem?

Dieser Benutzer war per RDP noch auf einem Server aufgeschalten. Dann hat er sein Passwort geändert, war aber immer noch dort angemeldet. Das hat wohl auch dazu geführt, dass es uns den Benutzer gesperrt hat.

Wie passiert das?

Wenn man sich mit einer RDP-Sitzung auf einem Server verbindet und dann anstelle von "abmelden" einfach über das "x" die Verbindung schließt....

Hilft dir diese Info evtl. weiter oder hat sich das Problem schon gelöst?

Viele Grüße

NorbertFe · 10. Februar 2017

Ja, das ist immer das nette von den Usern. Erst Multipostings in alle möglichen Foren und dann keinen Hinweis, dass man es gelöst hat:
http://social.technet.microsof…d2-4c78-a665-4396f8cf1a00

Bye
Norbert

Teilen