xbast1x
Goto Top

AD Benutzer wird sporadisch gesperrt

Hallo zusammen,

seit geraumer Zeit wird ein bestimmter AD User teilweise mehrmals täglich, teilweise aber nur 1x pro Woche gesperrt. Der Mitarbeiter hat einen Laptop (Win 7 prof 64bit), Iphone und Ipad welche per Active Sync mit dem Exchange verknüpft sind. Die Sperrung tritt auf, wenn er im Domänennetz ist aber auch wenn er per VPN arbeitet (zeitlich unabhängig). Fehlerversuche bis Sperrung sind auf 8 festgelegt

Was wurde bisher getan?
- OWA deaktiviert
- Passwort resettet
- Exchange Account auf beiden IOS Geräten neu eingerichtet
- Windows Tresor geleert
- Auch nach einem Rechnerwechsel (der ohnehin Anstand) gibt es Probleme
- AD User gelöscht und neu angelegt
- AD Kennwort auf "läuft niemals ab" gesetzt.

Ich komme mit den Fehlercodes auch auf keine Lösung. Habt ihr bereits einen ähnlichen Fall gehabt?

Fehlermeldung im DC
Authentifizierungspaket:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto:	USERID
Arbeitsstation:	Notebookname
Fehlercode:	0xC0000234

anschließend erscheint die Meldung

Fehler bei der Kerberos-Vorauthentifizierung.

Kontoinformationen:
	Sicherheits-ID:			USERID
	Kontoname:				USERID

Dienstinformationen:
	Dienstname:				krbtgt/ALT

Netzwerkinformationen:
	Clientadresse:				::ffff:x.x.x.x <-- Client Adresse
	Clientport:				61839

Weitere Informationen:
	Ticketoptionen:			0x40810010
	Fehlercode:				0x18
	Typ vor der Authentifizierung:	2

Zertifikatsinformationen:
	Zertifikatausstellername:		
	Seriennummer des Zertifikats: 	
	Zertifikatfingerabdruck:		

Zertifikatinformationen werden nur bereitgestellt, wenn ein Zertifikat zur Vorauthentifizierung verwendet wurde.

Vorauthentifizierungtypen, Ticketoptionen und Fehlercodes sind in RFC 4120 definiert.

Wenn das Ticket eine ungültige Form hat oder beim Transport beschädigt wurde und nicht entschlüsselt werden kann, sind viele Fehler dieses Ereignisses möglicherweise nicht vorhanden.

Gruß xbast1x
gpo richtlinien

Content-Key: 391514

Url: https://administrator.de/contentid/391514

Printed on: July 12, 2024 at 19:07 o'clock

Member: falscher-sperrstatus
falscher-sperrstatus Nov 02, 2018 at 14:03:43 (UTC)
Goto Top
Hallo Basti,

irgendein Programm/Script/Whatever, das der Benutzer nur sporadisch bzw je nach dem öfters nutzt?

VG
Member: erikro
erikro Nov 02, 2018 at 14:06:21 (UTC)
Goto Top
Moin,

Zitat von @xbast1x:
Fehler bei der Kerberos-Vorauthentifizierung.
Weitere Informationen:
Ticketoptionen: 0x40810010
Fehlercode: 0x18
Typ vor der Authentifizierung: 2

Das ist fast immer ein vertipptes Passwort. Vermutlich noch irgend eine Anwendung (z. B. Zugriff auf den Exchange-Server), bei der das Passwort nach dem letzten Ändern nicht mitgeändert wurde.

hth

Erik
Member: Penny.Cilin
Penny.Cilin Nov 02, 2018 at 18:49:41 (UTC)
Goto Top
'n Abend,

diese Frage ist schon so oft im Forum gestellt worden. Nutze doch mal die Suchfunktion und suche nach Benutzer gesperrt.
Dann findest Du jede Menge Beiträge und auch Lösungsmöglichkeiten.

Benutzer ständig gesperrt.

Gruss Penny
Member: Spirit-of-Eli
Spirit-of-Eli Nov 02, 2018 at 19:05:22 (UTC)
Goto Top
Moin,

aktiver doch das Logging der fehlerhaften Anmeldeversuche.
Wird hier bei den anderen ähnlichen Fragen ebenfalls beschrieben. (Ist kein Hexenwerk)

Gruß
Spirit
Member: xbast1x
xbast1x Nov 05, 2018 at 06:07:40 (UTC)
Goto Top
Skripte oder Tools laufen für den Benutzer nicht.

Ich werde mir das Logging mal anschauen.
Member: pigu1234
pigu1234 Nov 05, 2018 at 14:50:59 (UTC)
Goto Top
schau mal auf iphone & ipad ob es noch eine app gibt die sich mit falschen anmeldeinformationen versucht einzuloggen
Member: xbast1x
xbast1x Nov 06, 2018 at 09:23:43 (UTC)
Goto Top
Laut Log wird er immer auf dem primären DC geblockt. Von seiner Maschine geht nichts aus.

Fehlercodes:
Stauts: 0xC00006D
UNterstatus: 0xC00006A
Member: Spirit-of-Eli
Spirit-of-Eli Nov 06, 2018 at 09:54:09 (UTC)
Goto Top
Dann scheint das irgend ein gekoppelter Dienst zu sein. Bsp. Exchange.
Member: xbast1x
xbast1x Nov 06, 2018 at 10:20:13 (UTC)
Goto Top
@spririt-of-eli

mir ist nicht ganz klar wie ich bei diesem Fall vorgehen sollte. Kannst du es näher erläutern?
Member: xbast1x
xbast1x Nov 06, 2018 at 10:36:13 (UTC)
Goto Top
Mir ist noch folgender Eintrag auf dem Client es Mitarbeiters aufgefallen: Das der Account gesperrt ist klar, aber warum listet er die SearchProtocolHost.exe auf? Ich finde keinen Zusammenhang.

Fehlerinformationen:
Fehlerursache: Das Konto ist gesperrt.
Status: 0xc0000234
Unterstatus:: 0x0

Prozessinformationen:
Aufrufprozess-ID: 0x1ba8
Aufrufprozessname: C:\Windows\System32\SearchProtocolHost.exe