marcel93
Goto Top

Viele Benutzeranmeldung SBS 2011

Guten Morgen,

wir haben ein kleines Problem.

Auf unserem SBS 2011 gibt es zur Zeit komische Anmeldeereignisse, welche auch zu Kontosperrungen führen.

Ich habe unten mal 4 Bilder angehangen.

Die Sperrungen entstehen wahrscheinlich durch die 14 malige Anmeldung innerhalb 1er Sekunde.

Zusätzlich ist mir noch aufgefallen das bei dem Benutzer viel zu oft irgendwelche Anmeldeereignisse entstehen.

Das Problem ist nur bei den einem User. So wie die ganzen Anmeldeereignisse auf den Screens sind alle von einen User.


Falls ihr noch irgendwelche Informationen braucht, gebt mir Bescheid. Eventuell hatte jemand ja schonmal so ein Problem und kann mir helfen.
anmeldung gresser4
anmeldung gresser
anmeldung gresser3
anmeldung gresser2

Content-Key: 350709

Url: https://administrator.de/contentid/350709

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 04.10.2017 um 10:10:47 Uhr
Goto Top
Hallo,

das ist ja schön und gut. Die Frage ist: Wie schützt Ihr euer Netz?

VG
Mitglied: Pjordorf
Pjordorf 04.10.2017 um 10:14:02 Uhr
Goto Top
Hallo,

Zitat von @Marcel93:
Die Sperrungen entstehen wahrscheinlich durch die 14 malige Anmeldung innerhalb 1er Sekunde.
Wenn sich 14 mal pro Sekunde angemeldet werden kann, gibt es keine Sperrung. Erst wenn nach X maligem Erfolglosen Anmeldeversuchen es scheitert, wird das betreffende Konto je nach Einstellungen in deiner Domäne evtl. gesperrt. Schau nach was du für Einstellunegn in deiner DDP und DDC (GPO) drin stehen hast bzw. was denn angewendet wird.

Zusätzlich ist mir noch aufgefallen das bei dem Benutzer viel zu oft irgendwelche Anmeldeereignisse entstehen.
Du kennst den Kontoinhaber? Was bedeutet "viel zu oft"?

Das Problem ist nur bei den einem User. So wie die ganzen Anmeldeereignisse auf den Screens sind alle von einen User.
Verpasse ihm ein anderes Passwort bzw. deaktiviere das Konto. Wird sich wohl jemand beschweren wenn es nicht geht. Wie viele Geräte werden mit diesem Konto betankt bzw. welche Geräte benutzen dieses Konto? Irgendwelche Dienste / Programme die dieses Konto nutzen?

Falls ihr noch irgendwelche Informationen braucht, gebt mir Bescheid. Eventuell hatte jemand ja schonmal so ein Problem und kann mir helfen.
Suchen, suchen, suchen wer hier sich womit anmeldet oder versucht anzumelden. Welche Zugriffsmöglichkeiten bestehen von ausserhalb deines LANs?

Gruß,
Peter
Mitglied: Marcel93
Marcel93 04.10.2017 um 10:31:17 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @Marcel93:
Die Sperrungen entstehen wahrscheinlich durch die 14 malige Anmeldung innerhalb 1er Sekunde.
Wenn sich 14 mal pro Sekunde angemeldet werden kann, gibt es keine Sperrung. Erst wenn nach X maligem Erfolglosen Anmeldeversuchen es scheitert, wird das betreffende Konto je nach Einstellungen in deiner Domäne evtl. gesperrt. Schau nach was du für Einstellunegn in deiner DDP und DDC (GPO) drin stehen hast bzw. was denn angewendet wird.

Dort ist nichts definiert. Also sollte eigentlich nie gesperrt werden, komisch.

Zusätzlich ist mir noch aufgefallen das bei dem Benutzer viel zu oft irgendwelche Anmeldeereignisse entstehen.
Du kennst den Kontoinhaber? Was bedeutet "viel zu oft"?

Ja, da wie in den angehängten Screens ja andauernd Meldungen kommen.
Ja laut Kontoinhaber kann er sich normal am Windows-Anmeldebildschrim anmelden. Dann allerdings meckert wohl schon Outlook und die Telefoniesoftware rum. Wenn er dann den Rechner neustartet, bzw sich einmal ab und wieder anmeldet ist sein Konto gesperrt.

Das Problem ist nur bei den einem User. So wie die ganzen Anmeldeereignisse auf den Screens sind alle von einen User.
Verpasse ihm ein anderes Passwort bzw. deaktiviere das Konto. Wird sich wohl jemand beschweren wenn es nicht geht. Wie viele Geräte werden mit diesem Konto betankt bzw. welche Geräte benutzen dieses Konto? Irgendwelche Dienste / Programme die dieses Konto nutzen?

Er meldet sich nur auf seinem Notebook in der Domäne an. Und dann noch auf dem Terminal-Server.
Die einzige Software die noch läuft ist das Telefonprogramm, das haben aber auch alle User, dann sollte das ja nicht nur bei dem einem Benutzer vorkommen.

Falls ihr noch irgendwelche Informationen braucht, gebt mir Bescheid. Eventuell hatte jemand ja schonmal so ein Problem und kann mir helfen.
Suchen, suchen, suchen wer hier sich womit anmeldet oder versucht anzumelden. Welche Zugriffsmöglichkeiten bestehen von ausserhalb deines LANs?

Von außerhalb kann man nur auf den Terminal-Server zugreifen.

Gruß,
Peter

Vielen Dank für die rasche Antwort
Mitglied: Pjordorf
Pjordorf 04.10.2017 um 10:41:21 Uhr
Goto Top
Hallo,

Zitat von @Marcel93:
Dort ist nichts definiert. Also sollte eigentlich nie gesperrt werden, komisch.
Demnach dürfte dein Thread dann hier nicht sein, oder?

Ja, da wie in den angehängten Screens ja andauernd Meldungen kommen.
Das sind nur Auszüge und das mit geschwärzten Inhalten. Dann versagt unsere Hilfsleistung.

Ja laut Kontoinhaber kann er sich normal am Windows-Anmeldebildschrim anmelden
Wenn du das glauben tust. Ich würd mir den / die DCs viornehmen wo die Authentifizierzúng selbst stattfindet und schauen wo das Konto überall genutzt wird. Das kann ein Programm, ein Dienst, ein IoT oder sonstwas sein.

Er meldet sich nur auf seinem Notebook in der Domäne an. Und dann noch auf dem Terminal-Server.
Verpass ihm ein anderes Passwort, und sei es damit du nur rausbekommst was danach alles nicht mehr tut...

Von außerhalb kann man nur auf den Terminal-Server zugreifen.
Per VPN oder per Portweiterleitung auf 3389? Notfalls diesen Zugang auch mal dichtmachen bzw. das VPN lahmlegen. Was ist dann?

Ich sach doch - Suchen - suchen - suchen...

Gruß,
Peter
Mitglied: DerWoWusste
DerWoWusste 04.10.2017 um 11:46:56 Uhr
Goto Top
Dort ist nichts definiert. Also sollte eigentlich nie gesperrt werden, komisch
Wenn in der DDP/DDCP nichts drin ist, wird die lokale GPO der DCs benutzt. ->Am DC anmelden, secpol.msc öffnen und reinschauen.
Mitglied: fisi-pjm
fisi-pjm 05.10.2017 um 08:07:29 Uhr
Goto Top
Zitat von @Marcel93:


Das Problem ist nur bei den einem User. So wie die ganzen Anmeldeereignisse auf den Screens sind alle von einen User.


Moinsen,

ich kenn das eigentlich nur in Verbindung mit irgendwelchen Dienstkonten wo der Benutzer hinterlegt ist. Habt ihr das Passwort des Benutzers vor kurzem geändert und ein Dienst versucht dich jetzt mit den alten Daten ständig anzumelden?

Gruß
PJM