Benutzer ständig gesperrt - kein 4740 Event am DC
Hi,
ich habe seit ein paar Tage das Problem, dass das Konto eines Kollegen immer wieder gesperrt wird.
Mal geht es 40Min gut, dann wird er innerhalb von 5Min erneut gesperrt.
Das letzte 4740-Event für diesen User war letzten Freitag auf unserm lokalen DC von seinem Notebook aus, alle anderen Sperrungen sind nicht aufzufinden.
Angeblich wird er auch gesperrt wenn das Notebook ausgeschaltet ist.
Er hat ein Mobiltelefon (iPhone) und iPad auf dem sich ein Mail-Client mit unserem Exchange verbindet. Der Sync der Mails findet allerdings manuell statt und das iPad ist ausgeschaltet.
Sperrungen durch RDP-Sessions erscheinen für alle anderen Nutzer in den entsprechenden Security-Events.
Gibt es ein Tool mit dem man den Benutzer über das AD von allem abmelden kann?
Oder zumindest sehen kann wo sich der Benutzer versucht anzumelden?
Danke im Voraus
ich habe seit ein paar Tage das Problem, dass das Konto eines Kollegen immer wieder gesperrt wird.
Mal geht es 40Min gut, dann wird er innerhalb von 5Min erneut gesperrt.
Das letzte 4740-Event für diesen User war letzten Freitag auf unserm lokalen DC von seinem Notebook aus, alle anderen Sperrungen sind nicht aufzufinden.
Angeblich wird er auch gesperrt wenn das Notebook ausgeschaltet ist.
Er hat ein Mobiltelefon (iPhone) und iPad auf dem sich ein Mail-Client mit unserem Exchange verbindet. Der Sync der Mails findet allerdings manuell statt und das iPad ist ausgeschaltet.
Sperrungen durch RDP-Sessions erscheinen für alle anderen Nutzer in den entsprechenden Security-Events.
Gibt es ein Tool mit dem man den Benutzer über das AD von allem abmelden kann?
Oder zumindest sehen kann wo sich der Benutzer versucht anzumelden?
Danke im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 364730
Url: https://administrator.de/contentid/364730
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
8 Kommentare
Neuester Kommentar
Hi.
Hast Du mehrere DCs? Prüfe auf allen nach, ob die Sperrung geloggt wird - es kann nicht angehen, dass sie nicht geloggt wird. teste es aus, indem Du für das Konto mehrfach auf deinem eigenen PC ein falsches Kennwort eingibst (oder für ein Testkonto).
In dem Logeintrag steht die IP, wo die Fehleingabe stattfand - das ist der Anhaltspunkt, den du brauchst.
Hast Du mehrere DCs? Prüfe auf allen nach, ob die Sperrung geloggt wird - es kann nicht angehen, dass sie nicht geloggt wird. teste es aus, indem Du für das Konto mehrfach auf deinem eigenen PC ein falsches Kennwort eingibst (oder für ein Testkonto).
In dem Logeintrag steht die IP, wo die Fehleingabe stattfand - das ist der Anhaltspunkt, den du brauchst.
Moin Sven,
um dem Beitrag von @goscho noch hinzuzufügen, unter Umständen kann es auch eine eine vergessene RDP Sitzung sein.
Das heißt eine RDP Sitzung wurde nicht abgemeldet, sondern nur getrennt.
Wenn dann ein Passwortwechsel stattfindet, hält die getrennte RDP-Sitzung immer noch das alte Passwort.
Gruss Penny
um dem Beitrag von @goscho noch hinzuzufügen, unter Umständen kann es auch eine eine vergessene RDP Sitzung sein.
Das heißt eine RDP Sitzung wurde nicht abgemeldet, sondern nur getrennt.
Wenn dann ein Passwortwechsel stattfindet, hält die getrennte RDP-Sitzung immer noch das alte Passwort.
Gruss Penny
Hallo,
nur weil der betroffene Benutzer dies behauptet, muss es nicht stimmen. Wir hatten dieses Phänomen auch des öfteren, da hat dann der betroffene Anwender eine RDP Session vergessen. Die hatte er überhaupt nicht mehr auf dem Schirm / bzw. konnte sich nicht daran erinnern.
Einer unsrer Admins hat dann ein Skript geschrieben, mit welchem man abfragen konnte, ob das angegebene Benutzerkonto noch irgendwo angemeldet war.
Gruss Penny
nur weil der betroffene Benutzer dies behauptet, muss es nicht stimmen. Wir hatten dieses Phänomen auch des öfteren, da hat dann der betroffene Anwender eine RDP Session vergessen. Die hatte er überhaupt nicht mehr auf dem Schirm / bzw. konnte sich nicht daran erinnern.
Einer unsrer Admins hat dann ein Skript geschrieben, mit welchem man abfragen konnte, ob das angegebene Benutzerkonto noch irgendwo angemeldet war.
Gruss Penny
Hallo,
für solche Fälle lohnt es sich ein Qwinsta oder Query Session auf allen Servern.
RDP-Session verwalten mittels qwinsta und rwinsta
Möglicherweise heißt das nun unter Windows 2012 anders.
Gruss Penny
für solche Fälle lohnt es sich ein Qwinsta oder Query Session auf allen Servern.
RDP-Session verwalten mittels qwinsta und rwinsta
Möglicherweise heißt das nun unter Windows 2012 anders.
Gruss Penny
Zitat von @sventastic:
Hi,
erstmal Danke für die Antworten.
wir haben 5 DCs in dieser Domäne.
DC1 - Security Events völlig veraltet
DC2 - keine 4740-Events. Meldet Sperrungen allerdings als Caller an den DC4
DC3 - Event Viewer Service läuft nicht und lässt sich auch nicht starten (Access denied)
DC4 - keine 4740-Events für den betroffenen User. Sperrungen der DCs 2 und 6 als Caller sichtbar.
DC6 - unser lokaler DC. 4740 Events für Kollegen hier im Office. Betroffener User bisher allerdings nur 2x aufgeführt.
Ich habe mich zum test gesperrt und das war auf dem DC6 mit Angabe der Workstation wie auch auf dem DC4 mit Angabe DC6 zu sehen.
Die Sperrungen des betroffenen User auf dem DC6 wurden aber scheinbar nicht an den DC4 übermittelt.
Warum auf dem DC3 gar keine Events geloggt werden ist gerade in Klärung. Auch warum die Security-Events auf dem DC1 völlig veraltet sind.
Nach Rücksprache mit dem User wurden angeblich sämtliche RDP-Sessions durch abmelden beendet und auch Browserzugriffe innerhalb der Sessions auf interne Server der Domäne. Auch sollen weder Task noch Services mit den Credentials laufen.
Hi,
erstmal Danke für die Antworten.
wir haben 5 DCs in dieser Domäne.
DC1 - Security Events völlig veraltet
DC2 - keine 4740-Events. Meldet Sperrungen allerdings als Caller an den DC4
DC3 - Event Viewer Service läuft nicht und lässt sich auch nicht starten (Access denied)
DC4 - keine 4740-Events für den betroffenen User. Sperrungen der DCs 2 und 6 als Caller sichtbar.
DC6 - unser lokaler DC. 4740 Events für Kollegen hier im Office. Betroffener User bisher allerdings nur 2x aufgeführt.
Ich habe mich zum test gesperrt und das war auf dem DC6 mit Angabe der Workstation wie auch auf dem DC4 mit Angabe DC6 zu sehen.
Die Sperrungen des betroffenen User auf dem DC6 wurden aber scheinbar nicht an den DC4 übermittelt.
Warum auf dem DC3 gar keine Events geloggt werden ist gerade in Klärung. Auch warum die Security-Events auf dem DC1 völlig veraltet sind.
Nach Rücksprache mit dem User wurden angeblich sämtliche RDP-Sessions durch abmelden beendet und auch Browserzugriffe innerhalb der Sessions auf interne Server der Domäne. Auch sollen weder Task noch Services mit den Credentials laufen.
Ich würde dann aber auch mal die zwei DCs mit Fehlern (DC1 und DC3) vornehmen, dass sieht nach weiteren Problemen aus.
Gruß
@clSchak