xbast1x
Goto Top

AD Benutzer wird sporadisch gesperrt

Hallo zusammen,

seit geraumer Zeit wird ein bestimmter AD User teilweise mehrmals täglich, teilweise aber nur 1x pro Woche gesperrt. Der Mitarbeiter hat einen Laptop (Win 7 prof 64bit), Iphone und Ipad welche per Active Sync mit dem Exchange verknüpft sind. Die Sperrung tritt auf, wenn er im Domänennetz ist aber auch wenn er per VPN arbeitet (zeitlich unabhängig). Fehlerversuche bis Sperrung sind auf 8 festgelegt

Was wurde bisher getan?
- OWA deaktiviert
- Passwort resettet
- Exchange Account auf beiden IOS Geräten neu eingerichtet
- Windows Tresor geleert
- Auch nach einem Rechnerwechsel (der ohnehin Anstand) gibt es Probleme
- AD User gelöscht und neu angelegt
- AD Kennwort auf "läuft niemals ab" gesetzt.

Ich komme mit den Fehlercodes auch auf keine Lösung. Habt ihr bereits einen ähnlichen Fall gehabt?

Fehlermeldung im DC
Authentifizierungspaket:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto:	USERID
Arbeitsstation:	Notebookname
Fehlercode:	0xC0000234

anschließend erscheint die Meldung

Fehler bei der Kerberos-Vorauthentifizierung.

Kontoinformationen:
	Sicherheits-ID:			USERID
	Kontoname:				USERID

Dienstinformationen:
	Dienstname:				krbtgt/ALT

Netzwerkinformationen:
	Clientadresse:				::ffff:x.x.x.x <-- Client Adresse
	Clientport:				61839

Weitere Informationen:
	Ticketoptionen:			0x40810010
	Fehlercode:				0x18
	Typ vor der Authentifizierung:	2

Zertifikatsinformationen:
	Zertifikatausstellername:		
	Seriennummer des Zertifikats: 	
	Zertifikatfingerabdruck:		

Zertifikatinformationen werden nur bereitgestellt, wenn ein Zertifikat zur Vorauthentifizierung verwendet wurde.

Vorauthentifizierungtypen, Ticketoptionen und Fehlercodes sind in RFC 4120 definiert.

Wenn das Ticket eine ungültige Form hat oder beim Transport beschädigt wurde und nicht entschlüsselt werden kann, sind viele Fehler dieses Ereignisses möglicherweise nicht vorhanden.

Gruß xbast1x
gpo richtlinien

Content-Key: 391514

Url: https://administrator.de/contentid/391514

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 02.11.2018 um 15:03:43 Uhr
Goto Top
Hallo Basti,

irgendein Programm/Script/Whatever, das der Benutzer nur sporadisch bzw je nach dem öfters nutzt?

VG
Mitglied: erikro
erikro 02.11.2018 um 15:06:21 Uhr
Goto Top
Moin,

Zitat von @xbast1x:
Fehler bei der Kerberos-Vorauthentifizierung.
Weitere Informationen:
Ticketoptionen: 0x40810010
Fehlercode: 0x18
Typ vor der Authentifizierung: 2

Das ist fast immer ein vertipptes Passwort. Vermutlich noch irgend eine Anwendung (z. B. Zugriff auf den Exchange-Server), bei der das Passwort nach dem letzten Ändern nicht mitgeändert wurde.

hth

Erik
Mitglied: Penny.Cilin
Penny.Cilin 02.11.2018 um 19:49:41 Uhr
Goto Top
'n Abend,

diese Frage ist schon so oft im Forum gestellt worden. Nutze doch mal die Suchfunktion und suche nach Benutzer gesperrt.
Dann findest Du jede Menge Beiträge und auch Lösungsmöglichkeiten.

Benutzer ständig gesperrt.

Gruss Penny
Mitglied: Spirit-of-Eli
Spirit-of-Eli 02.11.2018 um 20:05:22 Uhr
Goto Top
Moin,

aktiver doch das Logging der fehlerhaften Anmeldeversuche.
Wird hier bei den anderen ähnlichen Fragen ebenfalls beschrieben. (Ist kein Hexenwerk)

Gruß
Spirit
Mitglied: xbast1x
xbast1x 05.11.2018 um 07:07:40 Uhr
Goto Top
Skripte oder Tools laufen für den Benutzer nicht.

Ich werde mir das Logging mal anschauen.
Mitglied: pigu1234
pigu1234 05.11.2018 um 15:50:59 Uhr
Goto Top
schau mal auf iphone & ipad ob es noch eine app gibt die sich mit falschen anmeldeinformationen versucht einzuloggen
Mitglied: xbast1x
xbast1x 06.11.2018 um 10:23:43 Uhr
Goto Top
Laut Log wird er immer auf dem primären DC geblockt. Von seiner Maschine geht nichts aus.

Fehlercodes:
Stauts: 0xC00006D
UNterstatus: 0xC00006A
Mitglied: Spirit-of-Eli
Spirit-of-Eli 06.11.2018 um 10:54:09 Uhr
Goto Top
Dann scheint das irgend ein gekoppelter Dienst zu sein. Bsp. Exchange.
Mitglied: xbast1x
xbast1x 06.11.2018 um 11:20:13 Uhr
Goto Top
@spririt-of-eli

mir ist nicht ganz klar wie ich bei diesem Fall vorgehen sollte. Kannst du es näher erläutern?
Mitglied: xbast1x
xbast1x 06.11.2018 um 11:36:13 Uhr
Goto Top
Mir ist noch folgender Eintrag auf dem Client es Mitarbeiters aufgefallen: Das der Account gesperrt ist klar, aber warum listet er die SearchProtocolHost.exe auf? Ich finde keinen Zusammenhang.

Fehlerinformationen:
Fehlerursache: Das Konto ist gesperrt.
Status: 0xc0000234
Unterstatus:: 0x0

Prozessinformationen:
Aufrufprozess-ID: 0x1ba8
Aufrufprozessname: C:\Windows\System32\SearchProtocolHost.exe