tourguide1504
Goto Top

Ereignis 4776 User wird ständig vom DC gesperrt

Nach der Entsperrung kann er wieder arbeiten um dann zu einem späterem Zeitpunkt während des Arbeiten wieder gesperrt zu werden.

Das wiederholt sich am Tag mehrmals. Das Verrückte ist, dass sich der Vorgang immer mal wieder mit einem anderen User wiederholt.

DNS-Einträge sind in Ordnung.

Content-ID: 348323

Url: https://administrator.de/contentid/348323

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

sabines
sabines 06.09.2017 um 08:07:58 Uhr
Goto Top
Guten Morgen,

eine Begrüßung wird hier als höflich erkannt.

Poste mal die genaue Meldung oder schau' Dir den Error Code hier an, das sollte eingrenzen helfen:
https://docs.microsoft.com/en-us/windows/device-security/auditing/event- ...

Gruss
MrFlow
MrFlow 06.09.2017 um 08:08:14 Uhr
Goto Top
Hallo,

habt ihr eine Kontensperrungsschwelle aktiviert? Heißt User sperren nach X fehlerhaften Anmeldeversuchen?

Grüße
tourguide1504
tourguide1504 06.09.2017 um 08:13:44 Uhr
Goto Top
Einen wunderschönen Guten Morgen!

habe ich im Stress vergessen!
Der User wird während des Arbeitens gesperrt. User wird nach fünf Fehlanmeldungen gesperrt. Kann das eine Anwendung auslösen?
sabines
sabines 06.09.2017 um 08:17:30 Uhr
Goto Top
Ja, das geht, wenn in der Anwendung veraltete Anmeldaten gespeichert sind. Hat der User sein PW in den letzten Tagen geändert?
tourguide1504
tourguide1504 06.09.2017 aktualisiert um 08:32:42 Uhr
Goto Top
nein, es wurde kein PW geändert!

Im Ereignis selber gibt es zu dem Verbindungs weder auf dem lokalen PC noch im DC eine sinnvolle Meldung, welche das Ereignis erklären würde.
beschlagfuchs
beschlagfuchs 06.09.2017 um 08:49:48 Uhr
Goto Top
Handy per Active Sync gekoppelt und der User hat in seinem Phone das neue PW noch nicht hinterlegt?
sabines
sabines 06.09.2017 um 09:27:27 Uhr
Goto Top
Hast Du den Link mal gelesen?
Da werden Error Codes erklärt, das sollte weiter eingrenzen.

Für eine ordentliche Hilfe bist Du mir zu einsilbig, ich bin dann mal raus.
tourguide1504
tourguide1504 06.09.2017 um 10:10:41 Uhr
Goto Top
gerade konnten wir das Problem eingrenzen:

Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server cifs/"RemoteServer" festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos lautete "Das Benutzerkonto wurde automatisch gesperrt, da zu viele ungültige Anmeldeversuche oder zu viele ungültige Anforderungen zur Kennwortänderung durchgeführt wurden.

Installiert wurde vorher ein Remoteapp, welche der User für Excel nutzen kann. Wir prüfen, ob dieser Zusammenhang der Auslöser ist!
Penny.Cilin
Penny.Cilin 06.09.2017 um 10:19:13 Uhr
Goto Top
Zitat von @tourguide1504:

Hallo,
Nach der Entsperrung kann er wieder arbeiten um dann zu einem späterem Zeitpunkt während des Arbeiten wieder gesperrt zu werden.

Das wiederholt sich am Tag mehrmals. Das Verrückte ist, dass sich der Vorgang immer mal wieder mit einem anderen User wiederholt.

DNS-Einträge sind in Ordnung.

Frage: Nutzen die Anwender unter Umständen RDP Sessions zu anderen Rechnern (z.B.: Server, Arbeitsstationen), oder sind unter Umständen noch Verbindungen zu Freigaben vorhanden, welche mit einem alten Passwort verbunden wurden?
Es sieht mir nämlich so aus, als wenn Verbindungen (RDP, Freigaben, o.ä.), welche noch mit alten Credentials (Passwort) existieren, welche dann das Konto des / der Benutzer sperren.

Ähnliche Fragen haben wir im Forum schon öfters gehabt. - Nutze mal die Suchfunkton des Forums.


Gruss Penny
SeriousEE
SeriousEE 06.09.2017 um 12:34:14 Uhr
Goto Top
Hallo,

wie lautet den die genaue Fehlermeldung? Normalerweise ist im Eventlog der Domänen Controller (alle) auch der Caller Computer Name oder Account Name ersichtlicht, um den verursachenden PC ausfindig zu machen. In weitere Folge muss man sich diesen PC, Server, Handy ansehen.

Vom genauen Zeitpunkt kann man sich auch die Eventlog Einträge vorher ansehen. Oftmals wird ja das Passwort innerhalb 1 Sekunde mehrmals falsch eingegeben, was auf ein hinterlegtes Passwort schließen lässt.

Viele Grüße
SeriousEE