17
AD: User wird immer wieder gesperrt
Hallo zusammen,
seit 2 Wochen wird ein User immer wieder im Active Directory gesperrt. Er versichert mir, dass er sein Passwort immer richtig eingibt und dass er am Handy beim Emailempfang nichts verändert hat.
Parallel gab es vor 2 Wochen das Problem, dass auf einmal so viele User am Terminalserver angemeldet sind, dass die RDS CALs nicht mehr ausgereicht haben. Das kommt aber selten vor und ist seitdem auch nicht mehr passiert. Hier besorge ich gerade noch zusätzliche CALs. Daher war meine Vermutung, dass es damit zutun hat.
Was aber seltsam aussieht und das ist nun der Kern meiner Frage: Laut Ereignisanzeige sperrt sich der User sporadisch, etwa einmal in 1-2 Stunden, und das auch mitten in der Nacht, wenn gar kein Login stattfindet. Als Verursacher steht im Log der Domain Controller selbst. Was bedeutet das? (Hintergrund: Nach 30 Min findet eine Entsperrung statt)
Kann das überhaupt mit RDS CALs zusammenhängen? Letzte Nacht wurde auch ein anderer User plötzlich sporadisch gesperrt, der bisher völlig unauffällig war. Oder spielen hier noch normale User-CALs eine Rolle? An diesem Thema bin ich gerade auch noch dran.
Vielen Dank für hilfreiche Antworten!
seit 2 Wochen wird ein User immer wieder im Active Directory gesperrt. Er versichert mir, dass er sein Passwort immer richtig eingibt und dass er am Handy beim Emailempfang nichts verändert hat.
Parallel gab es vor 2 Wochen das Problem, dass auf einmal so viele User am Terminalserver angemeldet sind, dass die RDS CALs nicht mehr ausgereicht haben. Das kommt aber selten vor und ist seitdem auch nicht mehr passiert. Hier besorge ich gerade noch zusätzliche CALs. Daher war meine Vermutung, dass es damit zutun hat.
Was aber seltsam aussieht und das ist nun der Kern meiner Frage: Laut Ereignisanzeige sperrt sich der User sporadisch, etwa einmal in 1-2 Stunden, und das auch mitten in der Nacht, wenn gar kein Login stattfindet. Als Verursacher steht im Log der Domain Controller selbst. Was bedeutet das? (Hintergrund: Nach 30 Min findet eine Entsperrung statt)
Kann das überhaupt mit RDS CALs zusammenhängen? Letzte Nacht wurde auch ein anderer User plötzlich sporadisch gesperrt, der bisher völlig unauffällig war. Oder spielen hier noch normale User-CALs eine Rolle? An diesem Thema bin ich gerade auch noch dran.
Vielen Dank für hilfreiche Antworten!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 516591
Url: https://administrator.de/contentid/516591
Ausgedruckt am: 24.11.2024 um 22:11 Uhr
17 Kommentare
Neuester Kommentar
Hi,
also die CAL's spielen dabei überhaupt keine Rolle.
Hat der Benutzer vor diesen 2 Wochen sein Passwort geändert?
Als Verursacher der DC selbst? Ist das zufällig ein Admin-Konto? Und falls ja: Wird dieses u.U. irgendwo für irgendwelche Dienste oder Scheduled Task verwendet?
E.
also die CAL's spielen dabei überhaupt keine Rolle.
Hat der Benutzer vor diesen 2 Wochen sein Passwort geändert?
Als Verursacher der DC selbst? Ist das zufällig ein Admin-Konto? Und falls ja: Wird dieses u.U. irgendwo für irgendwelche Dienste oder Scheduled Task verwendet?
E.
Hallo,
das ist auch eine Frage, welche gefühlt alle Woche gestellt wird.
Nutze mal die Suchfunktion, dort findest Du in den Antworten Lösungsansätze.
Gruss Penny.
das ist auch eine Frage, welche gefühlt alle Woche gestellt wird.
Nutze mal die Suchfunktion, dort findest Du in den Antworten Lösungsansätze.
Gruss Penny.
Servus,
ist der User auf mehreren Terminalservern gleichzeitig angemeldet und hat dabei in einer Session sein Passwort geändert?
Grüße
maxblank
ist der User auf mehreren Terminalservern gleichzeitig angemeldet und hat dabei in einer Session sein Passwort geändert?
Grüße
maxblank
Hallo,
hatte vor einigen Wochen ein ähnliches Problem in der Kombination Exchange und IPhone. Nach dem Kennwortwechsel wurde das Kennwort auf dem IPhone nicht angepasst. Das IPhone versucht in regelmäßigen Abständen erneut Kontakt zum Exchange aufzubauen und sperrt damit den Account des Users.
hatte vor einigen Wochen ein ähnliches Problem in der Kombination Exchange und IPhone. Nach dem Kennwortwechsel wurde das Kennwort auf dem IPhone nicht angepasst. Das IPhone versucht in regelmäßigen Abständen erneut Kontakt zum Exchange aufzubauen und sperrt damit den Account des Users.
Hallo,
das war auch meine erste Vermutung, aber es hat kein Passwortwechsel stattgefunden. Ich habe den User mehrmals danach gefragt, er versichert, dass NICHTS geändert wurde. Das Problem hat an dem Tag begonnen, als die RDS CALs nicht mehr ausgereicht haben.
Der User Account ist kein Admin Konto.
Gibt es keine Möglichkeit, noch genauer zu sehen, von wo die Anfrage kam? DC1 als Quelle ist eher schwammig.
das war auch meine erste Vermutung, aber es hat kein Passwortwechsel stattgefunden. Ich habe den User mehrmals danach gefragt, er versichert, dass NICHTS geändert wurde. Das Problem hat an dem Tag begonnen, als die RDS CALs nicht mehr ausgereicht haben.
Der User Account ist kein Admin Konto.
Gibt es keine Möglichkeit, noch genauer zu sehen, von wo die Anfrage kam? DC1 als Quelle ist eher schwammig.
Kann der User denn aktuell arbeiten? Bekommt er E-Mails auf sein Mobiltelefon?
Regel Nr 1
Der Benutzer hat nie etwas gemacht.
Regel Nr 1
Der Benutzer hat nie etwas gemacht.
Schlimmer, der User ist der Geschäftsleiter 
Wenn er im laufenden Tag gesperrt wird, kann er nicht arbeiten, dann ruft er an. Es sei denn er arbeitet 30 Minuten nicht und wird in der Zeit automatisch wieder entsperrt. Emails kommen generell aufs Handy an.
Wenn er im laufenden Tag gesperrt wird, kann er nicht arbeiten, dann ruft er an. Es sei denn er arbeitet 30 Minuten nicht und wird in der Zeit automatisch wieder entsperrt. Emails kommen generell aufs Handy an.
Hallo zusammen
Wir haben auch das Problem bei uns. Zurzeit sind ca 3 User betroffen wo im AD auf einmal gesperrt sind. Meistens kommt es wenn Sie den Büroplatz verlassen, und somit der Computer sperren. Wen Sie wieder zurück sind können Sie sich nicht mehr einloggen. Dann rufen Sie an und man muss Sie wieder entsperren. Folgendes wurde sichergestellt
- PW wurde auch von uns zum testen zurückgesetzt
- Hat nichts gebracht nach diverse Zeit Sind diese wieder gesperrt aus dem nichts
- Im Exchange haben wir auch noch die Mobile Devices deaktiviert aus sicherheit ob hier evtl. ein Gerät das verursacht, hat aber auch nichts gebracht
Mein nächster schritt wäre evtl. diese betroffene User komplett neu zu erfassen im AD. Oder habt Ihr auch noch einen guten Tipp?
LG Chris
Wir haben auch das Problem bei uns. Zurzeit sind ca 3 User betroffen wo im AD auf einmal gesperrt sind. Meistens kommt es wenn Sie den Büroplatz verlassen, und somit der Computer sperren. Wen Sie wieder zurück sind können Sie sich nicht mehr einloggen. Dann rufen Sie an und man muss Sie wieder entsperren. Folgendes wurde sichergestellt
- PW wurde auch von uns zum testen zurückgesetzt
- Hat nichts gebracht nach diverse Zeit Sind diese wieder gesperrt aus dem nichts
- Im Exchange haben wir auch noch die Mobile Devices deaktiviert aus sicherheit ob hier evtl. ein Gerät das verursacht, hat aber auch nichts gebracht
Mein nächster schritt wäre evtl. diese betroffene User komplett neu zu erfassen im AD. Oder habt Ihr auch noch einen guten Tipp?
LG Chris
@Cmilan331
zuerst einmal über die Eventlogs der DC's erfassen, auf welchen Computern die Sperre verursacht wird.
E.
siehe auch:
https://www.microsoft.com/en-us/download/details.aspx?id=18465
https://docs.microsoft.com/de-de/troubleshoot/windows-server/windows-sec ...
zuerst einmal über die Eventlogs der DC's erfassen, auf welchen Computern die Sperre verursacht wird.
E.
siehe auch:
https://www.microsoft.com/en-us/download/details.aspx?id=18465
https://docs.microsoft.com/de-de/troubleshoot/windows-server/windows-sec ...
@emeriks
Vielen Dank für deine Antwort. Ja das haben wir nachgeschaut wenn das vorkommt, und auf welcher Citrix Server auch verbunden ist. Zudem haben wir auch ein Tool (LocloutStatus.exe) wo der Name eingegeben werden kann vom betroffener User hier sieht man den wen das PW das letzte mal geändert wurde und wen auch falsch eingegeben wurde.
Danke noch für deine zwei links werde diese mal sehen.
LG Chris
Vielen Dank für deine Antwort. Ja das haben wir nachgeschaut wenn das vorkommt, und auf welcher Citrix Server auch verbunden ist. Zudem haben wir auch ein Tool (LocloutStatus.exe) wo der Name eingegeben werden kann vom betroffener User hier sieht man den wen das PW das letzte mal geändert wurde und wen auch falsch eingegeben wurde.
Danke noch für deine zwei links werde diese mal sehen.
LG Chris
Und: Wo (auf welchem Computer) wird die Sperre nun verursacht?
Die Sperrung ist zu sehen auf dem Citrix Server wo er geraden drauf verbunden ist. Aber eben es wechselt immer wieder einmal auf dem Citrx SRV001 das andere mal auf dem 002 usw... zurzeit sind es ca 4 User betroffen.
Laufen da Scripte oder Scheduled Task für diese Benutzer, wo die (alten) Passwörter hinterlegt sind?
Überprüfe mal die Passwort-Tresore der Benutzer-Profile, ob da irgendwas statisch eingetragen ist.
Also unter der Benutzer-Anmeldung auf diesen Citrix Servern ausführen:
Überprüfe mal die Passwort-Tresore der Benutzer-Profile, ob da irgendwas statisch eingetragen ist.
Also unter der Benutzer-Anmeldung auf diesen Citrix Servern ausführen:
cmdkey /list
Hoi ameriks
Das habe ich nicht kontrolliert, hast Du mir evtl die genaue Beschreibung wo ich dies finden kann?
Lg chris
Das habe ich nicht kontrolliert, hast Du mir evtl die genaue Beschreibung wo ich dies finden kann?
Lg chris
Aufgabenplanung ?
CMDKEY ?
CMDKEY ?
Werde heute nachschauen Danke halte dich auf dem laufendem.
Hoi emeriks
Wir haben dies nicht bei uns aktiv. Jedoch die vermutung gemäss unser Chef könnte ein problem sein mit dem exchange sowie wurde bei jedem user das skype for business deaktiviert. Um jetzt den fehler zu begrenzen. Bin neu in dieser Firma seit ca 4 monaten, kenne die ganze umgebung noch nicht. Werde aber dich auf dem neusten stand halten.
Wir haben dies nicht bei uns aktiv. Jedoch die vermutung gemäss unser Chef könnte ein problem sein mit dem exchange sowie wurde bei jedem user das skype for business deaktiviert. Um jetzt den fehler zu begrenzen. Bin neu in dieser Firma seit ca 4 monaten, kenne die ganze umgebung noch nicht. Werde aber dich auf dem neusten stand halten.
