AD Kontenentsperrung auf mehreren DCs
Hallo und einen schönen Tag an alle.
Vorab eine Umfeldbeschreibung.
Eine AD-Domäne, 7 Standorte mit je einem DC (Windows 2019/2022 Server), FSMO Rollen alle auf einem DC, Hybrid Umgebung zu Azure AD.
Seit einer leider nicht näher bestimmbaren Zeit haben wir folgendes Problem:
Ein User wird im AD gesperrt.
Wir entsperren den User auf einem DC, entweder GUI oder PS. Wenn der User im HO ist (VPN zur Firma) oder im Sperrbildschirm schlägt die erneute Anmeldung trotzdem Fehl mit dem Hinweis das er noch gesperrt ist.
Wir haben dann festgestellt, dass die Kontenentsperrung nur auf dem Server erfolgt, auf dem sie durchgeführt wurde und vlt einem oder zwei weiteren. Aber auf den anderen Servern kommt die Entsperrung erst nach unterschiedlicher Zeit 3, 8, 13 Minuten an. Auch die festgestellte Zeit ist nicht immer gleich.
Bisher bin ich davon ausgegangen, dass solche Infos zwischen den DC´s sofort ausgetauscht werden. Aber auch hier weiß ich gar nicht ob das stimmt und auf welchem Weg. Wenn da einer was zum Nachlesen hat, wäre ich dankbar.
Aber nun zur eigentlichen Frage: Wo nach kann ich schauen was das Problem ist oder wodurch es ausgelöst wird/wie ich es lösen kann? Selbst eine von Hand angestoßene Replikation beschleunigt nix.
Wir werden zwar im Laufe des Jahres die DC´s bis auf einen herausnehmen, aber ich hätte es gern verstanden, wo das Problem ist und wie ich es beheben kann.
Mit freundlichen Grüßen
Vorab eine Umfeldbeschreibung.
Eine AD-Domäne, 7 Standorte mit je einem DC (Windows 2019/2022 Server), FSMO Rollen alle auf einem DC, Hybrid Umgebung zu Azure AD.
Seit einer leider nicht näher bestimmbaren Zeit haben wir folgendes Problem:
Ein User wird im AD gesperrt.
Wir entsperren den User auf einem DC, entweder GUI oder PS. Wenn der User im HO ist (VPN zur Firma) oder im Sperrbildschirm schlägt die erneute Anmeldung trotzdem Fehl mit dem Hinweis das er noch gesperrt ist.
Wir haben dann festgestellt, dass die Kontenentsperrung nur auf dem Server erfolgt, auf dem sie durchgeführt wurde und vlt einem oder zwei weiteren. Aber auf den anderen Servern kommt die Entsperrung erst nach unterschiedlicher Zeit 3, 8, 13 Minuten an. Auch die festgestellte Zeit ist nicht immer gleich.
Bisher bin ich davon ausgegangen, dass solche Infos zwischen den DC´s sofort ausgetauscht werden. Aber auch hier weiß ich gar nicht ob das stimmt und auf welchem Weg. Wenn da einer was zum Nachlesen hat, wäre ich dankbar.
Aber nun zur eigentlichen Frage: Wo nach kann ich schauen was das Problem ist oder wodurch es ausgelöst wird/wie ich es lösen kann? Selbst eine von Hand angestoßene Replikation beschleunigt nix.
Wir werden zwar im Laufe des Jahres die DC´s bis auf einen herausnehmen, aber ich hätte es gern verstanden, wo das Problem ist und wie ich es beheben kann.
Mit freundlichen Grüßen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7738163199
Url: https://administrator.de/forum/ad-kontenentsperrung-auf-mehreren-dcs-7738163199.html
Ausgedruckt am: 03.04.2025 um 08:04 Uhr
13 Kommentare
Neuester Kommentar
Hi
das scheint eher ein Replikationsproblem im AD zu sein, Kontensperren, Passwortänderungen und vergleichbare Accountaktivität werden im Regelfall direkt Repliziert, egal ob in den Eigenschaften andere Zeitfenster eingetragen sind (das "Relikt" für schlechte Verbindungen aus den "Active Directory-Standorte und -Dienste" Einstellungen).
Die erst Bewertung, wie die Replikaton läuft erhälst via "repadmin /replsummary".
Prüfe zu dem, ob die Zeiten an allen DC's "in sync" sind und es dort keine Abweichungen gibt (mit Bezug auf UTC)
das scheint eher ein Replikationsproblem im AD zu sein, Kontensperren, Passwortänderungen und vergleichbare Accountaktivität werden im Regelfall direkt Repliziert, egal ob in den Eigenschaften andere Zeitfenster eingetragen sind (das "Relikt" für schlechte Verbindungen aus den "Active Directory-Standorte und -Dienste" Einstellungen).
Die erst Bewertung, wie die Replikaton läuft erhälst via "repadmin /replsummary".
Prüfe zu dem, ob die Zeiten an allen DC's "in sync" sind und es dort keine Abweichungen gibt (mit Bezug auf UTC)
Hi,
wenn Ihr da mehrere Standorte habt und diese so auch im AD eingetragen sind, dann replizieren sich die DC's standortübergreifend max. alle 15 min. Es sei denn, Ihr habt explizit die standortübergreifende Benachrichtigung aktiviert.
Also 1. Frage: Was habt ihr da genau konfiguriert?
Eine Sperrung oder Deaktivierung gilt meines Wissens als "dringe Nachricht" und wird außer der Reihe zwischen den DC "sofort" propagiert. Abholen müssen sich diese Info aber die anderen DC selbst.
Eine Entsperrung oder Aktiviereung gilt dagegen nicht als "dringe Nachricht". Meines Wissens. Also hier die normale Replikationslatenz.
Die Tatsache, dass das nicht "sofort" repliziert wird, oder die, warum das Konto überhaupt gesperrt wird?
Wenn letzteres:
Das bekommst Du nur raus, wenn Du die Eventlogs "Sicherheit" aller DC's auswertest.
E.
Bei MS gibt es ein Tool namens "Account Lockout Status".
https://www.microsoft.com/en-us/download/details.aspx?id=15201
wenn Ihr da mehrere Standorte habt und diese so auch im AD eingetragen sind, dann replizieren sich die DC's standortübergreifend max. alle 15 min. Es sei denn, Ihr habt explizit die standortübergreifende Benachrichtigung aktiviert.
Also 1. Frage: Was habt ihr da genau konfiguriert?
Eine Sperrung oder Deaktivierung gilt meines Wissens als "dringe Nachricht" und wird außer der Reihe zwischen den DC "sofort" propagiert. Abholen müssen sich diese Info aber die anderen DC selbst.
Eine Entsperrung oder Aktiviereung gilt dagegen nicht als "dringe Nachricht". Meines Wissens. Also hier die normale Replikationslatenz.
Wo nach kann ich schauen was das Problem ist oder wodurch es ausgelöst wird/wie ich es lösen kann?
Ich bin mir jetzt nicht sicher, welches Problem Du hier meinst.Die Tatsache, dass das nicht "sofort" repliziert wird, oder die, warum das Konto überhaupt gesperrt wird?
Wenn letzteres:
Das bekommst Du nur raus, wenn Du die Eventlogs "Sicherheit" aller DC's auswertest.
E.
Bei MS gibt es ein Tool namens "Account Lockout Status".
https://www.microsoft.com/en-us/download/details.aspx?id=15201
Zitat von @clSchak:
Prüfe zu dem, ob die Zeiten an allen DC's "in sync" sind und es dort keine Abweichungen gibt (mit Bezug auf UTC)
Sorry, aber das ist falsch.Prüfe zu dem, ob die Zeiten an allen DC's "in sync" sind und es dort keine Abweichungen gibt (mit Bezug auf UTC)
Interessant ist nur die Zeitdifferenz untereinander.
Wenn die Server alle in Kuba stehen, aber alle eine Zeit von Hawaii haben, dann ist das auch OK.
@emeriks : Das die Zeit innerhalb der Domäne in Sync sein muss ist klar, aber trotzdem sollte die mit der "Echtzeit" auch in Sync sein und als Referenz eigent sich am besten UTC da hier keine +/- Regelung erfolgt. Das man die Server dann auf die passende Zeitzone einstellt ist ja auch korrekt, aber Basis ist immer UTC.
Ich würde kein Netzwerk ohne dedizierte Zeitquelle einsetzen, sei es mit einem internen NTP Server (damit meine ich nicht einen Windows- oder Linuxserver) oder die Sync via Internet mit einem öffentlichen NTP Server.
Asnyc Zeiten sind richtiger Mist bei Logauswertungen, hat doch keiner Lust, erstmal die Zeitdifferenz zur "Echtzeit" jedes Mal umzurechnen
Edit / Add: spätestens wenn du MFA mit OTP Tokens verwendest, sollte das alles mit eine öffentlichen Quelle in Sync sein oder die Tokens sind nur mit der Domäne verbunden, dann funktioniert das auch ja.
Ich würde kein Netzwerk ohne dedizierte Zeitquelle einsetzen, sei es mit einem internen NTP Server (damit meine ich nicht einen Windows- oder Linuxserver) oder die Sync via Internet mit einem öffentlichen NTP Server.
Asnyc Zeiten sind richtiger Mist bei Logauswertungen, hat doch keiner Lust, erstmal die Zeitdifferenz zur "Echtzeit" jedes Mal umzurechnen
Edit / Add: spätestens wenn du MFA mit OTP Tokens verwendest, sollte das alles mit eine öffentlichen Quelle in Sync sein oder die Tokens sind nur mit der Domäne verbunden, dann funktioniert das auch ja.
Zitat von @Palomino:
Ein User wird im AD gesperrt.
Wir entsperren den User auf einem DC, entweder GUI oder PS. Wenn der User im HO ist (VPN zur Firma) oder im Sperrbildschirm schlägt die erneute Anmeldung trotzdem Fehl mit dem Hinweis das er noch gesperrt ist.
Wir haben dann festgestellt, dass die Kontenentsperrung nur auf dem Server erfolgt, auf dem sie durchgeführt wurde und vlt einem oder zwei weiteren. Aber auf den anderen Servern kommt die Entsperrung erst nach unterschiedlicher Zeit 3, 8, 13 Minuten an. Auch die festgestellte Zeit ist nicht immer gleich.
Also für mich hört sich das sehr eindeutig nach Passwort-Container (Anmeldeinformationsverwaltung), aka, z.B. für eine Netzlaufwerks-Verbindung oder Ähnliches hinterlegte Credentials mit falschem oder abgelaufenem Passwort.Ein User wird im AD gesperrt.
Wir entsperren den User auf einem DC, entweder GUI oder PS. Wenn der User im HO ist (VPN zur Firma) oder im Sperrbildschirm schlägt die erneute Anmeldung trotzdem Fehl mit dem Hinweis das er noch gesperrt ist.
Wir haben dann festgestellt, dass die Kontenentsperrung nur auf dem Server erfolgt, auf dem sie durchgeführt wurde und vlt einem oder zwei weiteren. Aber auf den anderen Servern kommt die Entsperrung erst nach unterschiedlicher Zeit 3, 8, 13 Minuten an. Auch die festgestellte Zeit ist nicht immer gleich.
Das Ding will sich automatisch verbinden und Zack! der Account ist wieder gesperrt. UNd weil die Replikation unterschiedlich lange dauern kann, hat das genau den Effekt, den du beschreibst.
Zitat von @Palomino:
Nein. Die Anmeldeinformationsverwaltung hat da keinen Einfluss drauf. Wenn ich einen Test-User über OWA sich sperren lasse, ist der nirgends angemeldet.
Es geht wirklich nur um die "verspätete Meldung oder Reaktion" der Entsperrmeldung an die anderen DC.
Nein. Die Anmeldeinformationsverwaltung hat da keinen Einfluss drauf. Wenn ich einen Test-User über OWA sich sperren lasse, ist der nirgends angemeldet.
Es geht wirklich nur um die "verspätete Meldung oder Reaktion" der Entsperrmeldung an die anderen DC.
Nein, da verstehst du mich falsch. Ein Benutzer kann sich irgendwo automatisch anmelden (z.B. Netzlaufwerk) und dazu werden seinen Cretentials gespeichert. Dazu muss er sich anmelden damit die andere Verbindung aufgebaut wird, ja!
Für einen Scheduled Task der als System mit des Users Credentials ausgeführt wird, muss er nicht aktiv angemeldet sein. Netzlaufwerk war demnach eher ein schlechtes Bsp.
@Palomino
Replizierte Änderungen an AD-Objekten (hier die Entsperrungen) sind keine "Ereignisse" und werden deshalb auch nicht im Eventlog von DC ausgegeben, welche sich eine Änderung von einem anderen DC abgeholt haben.
auf dem "ersten DC der Domäne"
Dieser DC ist wahrscheinlich der PDC-Emulator. Und wenn alle Sperrungen - auch für die Konten von Benutzern an den Außenstandorten - nur oder vorrangig über diesen Server erfolgen, dann ist das ein ziemlich sicherer Hinweis darauf, dass die Standorte nicht im AD abgebildet sind. Das würde bedeuten, dass die DC sich alle als zu einem Standort gehörig betrachten und die Replikation dann spätestens alle 5 Minuten erfolgt. Im günstigsten Fall steht das nächste Replikationsintervall eines DC sofort nach der Entsperrung an, dann holt er sich das "sofort" ab. Im ungünstigsten Fall hat sich ein DC gerade erst repliziert. Dann wird er sich die Entsperrung erst nach 5 min abholen.Replizierte Änderungen an AD-Objekten (hier die Entsperrungen) sind keine "Ereignisse" und werden deshalb auch nicht im Eventlog von DC ausgegeben, welche sich eine Änderung von einem anderen DC abgeholt haben.
Moin,
Nochmal: Das ist keine gute Idee! Der Befehl sorgt dafür, dass nicht wie bei der normalen Replikation nur das Delta repliziert wird, sondern das ganze AD mit allen Informationen. Bei sieben Standorten, über deren Anbindung wir nichts wissen, kann das mehrere Stunden dauern und das Netz so belasten, dass es in die Knie geht. Ein kompletter Sync des AD sollte immer nur das letzte Mittel sein.
Die Lösung des Problems habe ich auch schon genannt: Man verbindet sich mit dem DC des Standorts. So macht man das.
Liebe Grüße
Erik
Zitat von @JasperBeardley:
schieb nach dem Entsperren einfach aus einer administrativen CMD ein
schieb nach dem Entsperren einfach aus einer administrativen CMD ein
1
repadmin /syncall / APeD
Nochmal: Das ist keine gute Idee! Der Befehl sorgt dafür, dass nicht wie bei der normalen Replikation nur das Delta repliziert wird, sondern das ganze AD mit allen Informationen. Bei sieben Standorten, über deren Anbindung wir nichts wissen, kann das mehrere Stunden dauern und das Netz so belasten, dass es in die Knie geht. Ein kompletter Sync des AD sollte immer nur das letzte Mittel sein.
Die Lösung des Problems habe ich auch schon genannt: Man verbindet sich mit dem DC des Standorts. So macht man das.
Liebe Grüße
Erik