7
Bestimmte Nutzer werden wahllos vom DC gesperrt
Moin liebe Kollegen,
aktuell arbeite ich an einem Problem, bei dem ich einfach nicht weiterkomme.
Wir haben die Situation, dass einer unserer beiden DCs immer wieder zufällig Nutzer sperrt. Der Sperreintrag stammt dabei jedoch immer vom selben DC.
Die gesperrten Nutzer sind ebenfalls immer dieselben, jedoch treten die Sperrungen zu unterschiedlichen Zeiten auf – häufig nachts bis in den Morgen hinein, aber auch tagsüber.
Leider gehen uns die Ideen aus, woran es liegen könnte. Wir können keinen eindeutigen Zusammenhang erkennen, außer dass es sich bei einigen gesperrten Nutzern um Service-Konten handelt (z. B. Fax-, Scan-User), aber auch reguläre Nutzer betroffen sind (zwei stechen besonders hervor).
Folgende Maßnahmen haben wir bereits durchgeführt:
Windows-Credentials gelöscht
Zugriff über OWA geprüft → Die gesperrten Nutzer greifen nicht über OWA zu
Hat jemand noch eine Idee, was das Problem verursachen könnte?
--Windows Server (DC)
--Clients Windows (10/11)
--2 Synchrone DC´s
Abkürzungen:
DC1: Domaincontroller 1
DN: Domain Name
DC2: Domaincontroller 2
Hier ein Auszug aus dem Eventlog von „DC1“ sowie aus dem Netlogon.log:
Auszug aus dem Eventlog von "DC1"
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-a5ba-3e3b0328c30d}
EventID 4740
Version 0
Level 0
Task 13824
Opcode 0
Keywords 0x8020000000000000
- TimeCreated
[ SystemTime] 2025-02-20T23:07:01.1101868Z
EventRecordID 2468795
Correlation
- Execution
[ ProcessID] 848
[ ThreadID] 18416
Channel Security
Computer "DC2"
Security
- EventData
TargetUserName "Username"
TargetDomainName "DC1"
TargetSid S-1-5-21-1409082233-602162358-839522115-4462
SubjectUserSid S-1-5-18
SubjectUserName "DC2"
SubjectDomainName "DN"
SubjectLogonId 0x3e7
Auszug vom Netlogon auf "DC1"
02/21 05:13:18 [LOGON] [2444] "DN": SamLogon: Network logon of "Username" from "DC1" Entered
02/21 05:13:18 [CRITICAL] [2444] NlPrintRpcDebug: Couldn't get EEInfo for I_NetLogonSamLogonEx: 1761 (may be legitimate for 0xc000006a)
02/21 05:13:18 [LOGON] [2444] "DN": SamLogon: Network logon of "Username" from "DC1" Returns 0xC000006A
02/21 05:15:00 [LOGON] [3012] "DN": SamLogon: Network logon of "Username" from "DC1" Entered
02/21 05:15:00 [CRITICAL] [3012] NlPrintRpcDebug: Couldn't get EEInfo for I_NetLogonSamLogonEx: 1761 (may be legitimate for 0xc0000234)
02/21 05:15:00 [LOGON] [3012] "DN": SamLogon: Network logon of "Username" from "DC1" Returns 0xC0000234
aktuell arbeite ich an einem Problem, bei dem ich einfach nicht weiterkomme.
Wir haben die Situation, dass einer unserer beiden DCs immer wieder zufällig Nutzer sperrt. Der Sperreintrag stammt dabei jedoch immer vom selben DC.
Die gesperrten Nutzer sind ebenfalls immer dieselben, jedoch treten die Sperrungen zu unterschiedlichen Zeiten auf – häufig nachts bis in den Morgen hinein, aber auch tagsüber.
Leider gehen uns die Ideen aus, woran es liegen könnte. Wir können keinen eindeutigen Zusammenhang erkennen, außer dass es sich bei einigen gesperrten Nutzern um Service-Konten handelt (z. B. Fax-, Scan-User), aber auch reguläre Nutzer betroffen sind (zwei stechen besonders hervor).
Folgende Maßnahmen haben wir bereits durchgeführt:
Windows-Credentials gelöscht
Zugriff über OWA geprüft → Die gesperrten Nutzer greifen nicht über OWA zu
Hat jemand noch eine Idee, was das Problem verursachen könnte?
--Windows Server (DC)
--Clients Windows (10/11)
--2 Synchrone DC´s
Abkürzungen:
DC1: Domaincontroller 1
DN: Domain Name
DC2: Domaincontroller 2
Hier ein Auszug aus dem Eventlog von „DC1“ sowie aus dem Netlogon.log:
Auszug aus dem Eventlog von "DC1"
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-a5ba-3e3b0328c30d}
EventID 4740
Version 0
Level 0
Task 13824
Opcode 0
Keywords 0x8020000000000000
- TimeCreated
[ SystemTime] 2025-02-20T23:07:01.1101868Z
EventRecordID 2468795
Correlation
- Execution
[ ProcessID] 848
[ ThreadID] 18416
Channel Security
Computer "DC2"
Security
- EventData
TargetUserName "Username"
TargetDomainName "DC1"
TargetSid S-1-5-21-1409082233-602162358-839522115-4462
SubjectUserSid S-1-5-18
SubjectUserName "DC2"
SubjectDomainName "DN"
SubjectLogonId 0x3e7
Auszug vom Netlogon auf "DC1"
02/21 05:13:18 [LOGON] [2444] "DN": SamLogon: Network logon of "Username" from "DC1" Entered
02/21 05:13:18 [CRITICAL] [2444] NlPrintRpcDebug: Couldn't get EEInfo for I_NetLogonSamLogonEx: 1761 (may be legitimate for 0xc000006a)
02/21 05:13:18 [LOGON] [2444] "DN": SamLogon: Network logon of "Username" from "DC1" Returns 0xC000006A
02/21 05:15:00 [LOGON] [3012] "DN": SamLogon: Network logon of "Username" from "DC1" Entered
02/21 05:15:00 [CRITICAL] [3012] NlPrintRpcDebug: Couldn't get EEInfo for I_NetLogonSamLogonEx: 1761 (may be legitimate for 0xc0000234)
02/21 05:15:00 [LOGON] [3012] "DN": SamLogon: Network logon of "Username" from "DC1" Returns 0xC0000234
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671545
Url: https://administrator.de/forum/bestimmte-nutzer-werden-wahllos-vom-dc-gesperrt-671545.html
Ausgedruckt am: 22.02.2025 um 03:02 Uhr
7 Kommentare
Neuester Kommentar
Das Log gibt den möglichen Verursacher eigentlich schon aus. Wenn ihr einen Printserver habt, der mit Servicekonten arbeitet klemmt es irgendwo hier. Schwirrt auf dem Printserver vielleicht ein kaputtes Kerberos-Ticket rum? Oder flutet das Printsystem dem DC mit kaputten Anfragen, sodass es sich hierbei um einen Bug handelt, der sich durch ein Software-Update beheben lässt? Wie haben bspw. IQ4Docs von Kyocera, da haben sich z.B. auch zahlreiche Bugs durch ein banales Update von alleine erledigt.
Greifen die da einfach nicht zu oder dürfen die da nicht zugreifen?
Moin,
ist eventuell noch ein Device mit alten Logindaten bei den Mitarbeitern unterwegs?
Vor nicht allzu langer Zeit hatte ich ein ähnliches Problem mit einem User. Plötzlich wurde ständig sein Konto gesperrt.
Es stellte sich heraus, dass er für sein Kind ein altes iPad rausgekramt hat. Dort waren noch alte Logindaten hinterlegt, die ständig zum Server funkten und so eine Sperrung provozierten.
Gruß
ist eventuell noch ein Device mit alten Logindaten bei den Mitarbeitern unterwegs?
Vor nicht allzu langer Zeit hatte ich ein ähnliches Problem mit einem User. Plötzlich wurde ständig sein Konto gesperrt.
Es stellte sich heraus, dass er für sein Kind ein altes iPad rausgekramt hat. Dort waren noch alte Logindaten hinterlegt, die ständig zum Server funkten und so eine Sperrung provozierten.
Gruß
Mon
wenn Du Anmeldungen/Anmeldeversuche überwachst, solltest Du auch eine Quelle der Sperrung identifizieren können.
Man kann sich das Leben aber auch einfach machen und ändert zumindest testweise den Kontonamen im AD.
Gruß
wenn Du Anmeldungen/Anmeldeversuche überwachst, solltest Du auch eine Quelle der Sperrung identifizieren können.
Man kann sich das Leben aber auch einfach machen und ändert zumindest testweise den Kontonamen im AD.
Gruß
Zitat von @ArnoNymous:
Moin,
ist eventuell noch ein Device mit alten Logindaten bei den Mitarbeitern unterwegs?
Vor nicht allzu langer Zeit hatte ich ein ähnliches Problem mit einem User. Plötzlich wurde ständig sein Konto gesperrt.
Es stellte sich heraus, dass er für sein Kind ein altes iPad rausgekramt hat. Dort waren noch alte Logindaten hinterlegt, die ständig zum Server funkten und so eine Sperrung provozierten.
Gruß
Moin,
ist eventuell noch ein Device mit alten Logindaten bei den Mitarbeitern unterwegs?
Vor nicht allzu langer Zeit hatte ich ein ähnliches Problem mit einem User. Plötzlich wurde ständig sein Konto gesperrt.
Es stellte sich heraus, dass er für sein Kind ein altes iPad rausgekramt hat. Dort waren noch alte Logindaten hinterlegt, die ständig zum Server funkten und so eine Sperrung provozierten.
Gruß
Ist bei uns leider nicht der Fall. Die Nutzer die gesperrt werden, nutzen nur Workstations (nur Lan) und keine mobile devices wie Handy, Tablet oder Laptop... o.ä.
@MS0710
· Was hast Du für eine Umgebung (grob) Server, Versionen... ?
· Was haben DC's mit OWA (Outlook Web Access) zu tun ?
· vom Exchange schreibst Du auch nichts...
· Devices an Netzwerk / Exchange - welche/was ?
äähhm wir haben keine Glaskugel die wirklich funktioniert... ;)
Bitte um Aufklärug..
Gruss Globe!
· Was hast Du für eine Umgebung (grob) Server, Versionen... ?
· Was haben DC's mit OWA (Outlook Web Access) zu tun ?
· vom Exchange schreibst Du auch nichts...
· Devices an Netzwerk / Exchange - welche/was ?
äähhm wir haben keine Glaskugel die wirklich funktioniert... ;)
Bitte um Aufklärug..
Gruss Globe!
