kurti06
Goto Top

Kontosperrungen auf SBS 2003

Hallo
anderes Netzwerk (nicht der vorherige Beitrag)

Hab ein Problemchen, da weiß ich nicht mehr weiter.
Ein Netzwerk 1 SBS 2003 ein TS 2003 mehrer XP Client
seit einiger Zeit treten intervallmäßig Kontosperrungen auch - hervorgerufen durch falsch Anmeldung- von Bernutzern von Client PC als Quelle auch vom TS.
Mehr als die Quelle wird nicht angezeigt. Alle gefundenen Tipss bis hin zum Neuinstallieren der Client PC und sogar des SBS bringen ca. 2 Tag einen Erfolg, dann geht es von vorn los.
Auch alle Einflüsse etwa von außen sind testweise abgeschalten.
Es gibt an den SBS eine Anmeldung an Exchange und sonst nich. Und regelmäßig sperrt das Konto - außer Sperrzeit runtersetzen hab ich keine Idee mehr.

Hat jemand eine Hilfe ??
Gruß Kurti

Content-ID: 135842

Url: https://administrator.de/forum/kontosperrungen-auf-sbs-2003-135842.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

bstefan82
bstefan82 12.02.2010 um 19:59:54 Uhr
Goto Top
Irgendwas muss ja dafür verantwortlich sein. Steht im Sicherheitslog nix weiter drin? Was man machen kann ist die Sperrungen zu deaktivieren, allerdings ist das nicht empfehlenswert....

Passieren die Sperrungen zu Uhrzeiten wo die User da sind?
Kurti06
Kurti06 12.02.2010 um 22:13:02 Uhr
Goto Top
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: schxxx
Domäne: xxxx-TERMSERVER
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: xxxx-TERMSERVER
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.126.10.201
Quellport: 0

So zB vom TS Server obwohl die Anmeldung 'schxxx' gar nicht aktiv ist.
Von den Client PC natürlich nur, wenn Sie laufen. Also auzugehen ist, dass die Quell IP korrekt ist.
bstefan82
bstefan82 12.02.2010 um 22:51:21 Uhr
Goto Top
Ist die Quellnetzwerkadresse immer die gleiche?
192.168.10.201 ist nen client?
Kurti06
Kurti06 12.02.2010 um 22:59:52 Uhr
Goto Top
Das ist der TS ... von den Client PC kommen die gleichen falschen Anmeldungen. Dann mit der IP vom Client PC.
Benutzer und IP stimmen. Es gibt auch keinen 'geplanten Tasks' oder abgespeicherte 'falsche' Anmeldunge etc.
Standard Installation XP SP3 und Anmeldung Outlook > Exchange .
bstefan82
bstefan82 12.02.2010 um 23:54:16 Uhr
Goto Top
mhhh.... mal als ideen:

- Outlook profil löschen und neu anlegen
- irgendwo gecached anmeldedaten noch vorhande?
- eine Anwendung die noch versucht mit alten Credentials zuzugreifen?

Anmeldetyp 3 ist (normalerweise) nen versuch auf nen share zuzugreifen. Um mehr Infos zu bekommen kannst du ja mal in den Policies unter Computer -> Win Einstellungen -> Sicherheit -> Überwachungsrichtlinen mal schaun obs noch was zu aktivieren gibt, was hilft.

Steht im Sicherheitslog der Clients irgendwas drin?

//edit

in einer 2003+ Domain eigentlich egal da automatisch, aber sind die Uhrzeiten im Netzwerk Synchron?
Kurti06
Kurti06 13.02.2010 um 08:59:47 Uhr
Goto Top
Neue OL Profile, gespeicherte Anmeldungen etc. waren mit der ersten Versuche.
Bis hin halt zum 'ranstellen' eines Neu-Standart-Installierten PC.
Uhr stimmt (hatte ich auch schon mal)

Einträge Gegenseite als Beispiel der TS

Anmeldeversuch unter Verwendung expliziter Anmeldeinformationen:
Angemeldeter Benutzer:
Benutzername: Schxxx
Domäne: xxx-TERMSERVER
Anmeldekennung: (0x0,0xFA21F60)
Anmelde-GUID: -
Benutzer, dessen Anmeldeinformationen verwendet wurden:
Zielbenutzerame: Administrator
Zieldomäne: xxx-TERMSERVER
Zielanmelde-GUID:-

Zielservername: xxx-domainserv.xxx.local
Zielserverinfo: xxx-domainserv.xxx.local
Aufruferprozesskennung: 4
Quellnetzwerkadresse: -
Quellport: -
Sollte die ' Aufruferprozesskennung 4 ' die ID sein dann ist er Task System.

Gruß Kurti