newit1
Goto Top

AD-Account wird ständig gesperrt

Hallo zusammen,

vor einigen Tagen haben ich in das Passwort eines Dienstekontos im AD geändert.
Soweit so gut, das passiert bei uns in regelmäßigen Abständen.

Mir ist bekannt, dass es hierfür eine Lösung seitens Microsoft gibt, das soll heute aber nicht das Thema sein.

Das Problem ist, dass seit der Änderung des Passworts der AD-Account sich aufgrund unserer Policy nach xx Fehlversuchen automatisch sperrt.
An allen bekannten Stellen, wo der Account hinterlegt ist, habe ich auch das neue Passwort eingetragen.
Aber anscheinend habe ich diesmal irgendeine Stelle vergessen.

Über den Eventviewer habe ich versucht auszulesen, woher die fehlerhaften Anmeldungen stammen.
Für mich ist dort leider nichts erkennbar.

Unter der Event-ID 4740 ist nur erkenntlich, dass der Account gesperrt wurde.
Das Feld "Caller Computer Name" bleibt leer. Hier steht so etwas in der Regel. (siehe Beispielscreenshot)

kb_1-7gcch-1095_account-locked-out


Hattet ihr so etwas schon mal? Habt ihr Ideen, wie ich die Quelle finden kann?

Content-ID: 668994

Url: https://administrator.de/forum/ad-account-wird-staendig-gesperrt-668994.html

Ausgedruckt am: 26.12.2024 um 08:12 Uhr

StefanKittel
StefanKittel 24.10.2024 um 12:33:00 Uhr
Goto Top
Zitat von @newit1:
Hattet ihr so etwas schon mal?
Klar

Habt ihr Ideen, wie ich die Quelle finden kann?
Siehe https://activedirectorypro.com/account-lockout-event-id/

Stefan
newit1
newit1 24.10.2024 um 12:39:33 Uhr
Goto Top
@StefanKittel

das hatte ich wie oben erwähnt bereits versucht.
Leider bleibt das Feld "Caller Computer Name" bei der Event ID 4740 leer. (siehe Screenshot)
em-pie
em-pie 24.10.2024 um 12:48:54 Uhr
Goto Top
Moin,
(siehe Screenshot)
der 4,5 Jahre alt ist...

Hast du mal unter "Security" geschaut, ob um den Zeitpunkt des Sperrens eine Verbindung ersichtlich wird?
Wenn du 3-5 IP-Adressen hast, könnte man die ja "abgrasen"...
Penny.Cilin
Penny.Cilin 24.10.2024 um 12:54:34 Uhr
Goto Top
Und diese Frage taucht fast wöchentlich im Forum auf. Schon mal die Suchfunktion bemüht?
beck2oldschool
beck2oldschool 24.10.2024 um 13:55:58 Uhr
Goto Top
Zitat von @Penny.Cilin:

Und diese Frage taucht fast wöchentlich im Forum auf. Schon mal die Suchfunktion bemüht?

Jep, vor 10 Tagen erst: [content:668681]
MysticFoxDE
Lösung MysticFoxDE 24.10.2024 um 17:42:17 Uhr
Goto Top
Zitat von @newit1,

Hattet ihr so etwas schon mal?

ja und nicht nur einmal. 🙃

Habt ihr Ideen, wie ich die Quelle finden kann?

Du musst zuerst die Protokollierung der fehlerhaften Anmeldungen auf den DC's aktivieren, was per Default leider nicht der Fall ist und dann siehst du auch etwas mehr im Eventlog. 😉

Gruss Alex