Permanente Sperrung eines Adminkontos
Hallo Leute,
wir haben seit mehreren Monaten das Problem bei einem Admin-User, dass dieser mehrmals täglich in der AD gesperrt wird. Regelmäßig heißt so 3-4 mal am Tag (morgens bei Arbeitsbeginn, um 11 Uhr und nachmittags noch 2 - 3 mal). Wir haben auch bereits über das Rechenzentrum die Info erhalten, von welchem Win2k3-Server die Sperrung ausgeht. Auf diesem betreffenden Server laufen neben 2-3 Webservern (Tomcat, IIS) mit diversen Webanwendungen auch ein SQL-Express Server. Wir haben auch bereits getestet, wie es sich äußert, wenn der SQL-Server für nen halben Tag gestoppt ist. Dann kommt es zu ca. einer Sperrung am Nachmittag.
Ich persönlich vermute, dass in irgendeiner Webanwendung (in Verbindung mit dem SQL-Server) der User zum Test eingetragen wurde mit einem damals gültigen Kennwort. Wir haben auch bereits den Windowsuser gelöscht und neu angelegt, damit er eine neue SID erhält. Daher muss es irgendwo ein Klartextuser auf dem Server sein. Aber das Durchsuchen nach Klartext hat keinen Erfolg gebracht. Wir sind auch bereits mit den Softwareherstellern in Kontakt gewesen und die Anwendungen durch gegangen - aber nichts zu finden Die Quelle der Sperrung ist aber definitiv von diesem Server aus.
Hat von Euch noch jemand ne Idee, wie wir der Userkennung auf die Schliche kommen können oder mit ner Protokollierung auf dem Server zu potte kommen? Die Lösung eine neue Adminkennung zu erstellen gefällt mir nicht
Viele Grüße
Sascha
wir haben seit mehreren Monaten das Problem bei einem Admin-User, dass dieser mehrmals täglich in der AD gesperrt wird. Regelmäßig heißt so 3-4 mal am Tag (morgens bei Arbeitsbeginn, um 11 Uhr und nachmittags noch 2 - 3 mal). Wir haben auch bereits über das Rechenzentrum die Info erhalten, von welchem Win2k3-Server die Sperrung ausgeht. Auf diesem betreffenden Server laufen neben 2-3 Webservern (Tomcat, IIS) mit diversen Webanwendungen auch ein SQL-Express Server. Wir haben auch bereits getestet, wie es sich äußert, wenn der SQL-Server für nen halben Tag gestoppt ist. Dann kommt es zu ca. einer Sperrung am Nachmittag.
Ich persönlich vermute, dass in irgendeiner Webanwendung (in Verbindung mit dem SQL-Server) der User zum Test eingetragen wurde mit einem damals gültigen Kennwort. Wir haben auch bereits den Windowsuser gelöscht und neu angelegt, damit er eine neue SID erhält. Daher muss es irgendwo ein Klartextuser auf dem Server sein. Aber das Durchsuchen nach Klartext hat keinen Erfolg gebracht. Wir sind auch bereits mit den Softwareherstellern in Kontakt gewesen und die Anwendungen durch gegangen - aber nichts zu finden Die Quelle der Sperrung ist aber definitiv von diesem Server aus.
Hat von Euch noch jemand ne Idee, wie wir der Userkennung auf die Schliche kommen können oder mit ner Protokollierung auf dem Server zu potte kommen? Die Lösung eine neue Adminkennung zu erstellen gefällt mir nicht
Viele Grüße
Sascha
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 205490
Url: https://administrator.de/forum/permanente-sperrung-eines-adminkontos-205490.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
13 Kommentare
Neuester Kommentar
Hi,
weiß nicht warum du eine neue Kennung ablehnst. Würde den entsprechenden Benutzer deaktivieren (nicht löschen) und einen neuen anlegen.
Vielleicht sieht man durch die Deaktivierung, was dann nicht mehr funktioniert - und schaut da bei den Scripten nach. Und wenn`s nicht trivial ist kann man den Benutzer schnell wieder aktivieren.
Ansonsten mal sämtliche Logs duschschauen, irgendwo müsste ja ein "Anmeldung fehlgeschlagen" auftauchen. Aber welche Log - musst mal suchen
greetz
Ravers
weiß nicht warum du eine neue Kennung ablehnst. Würde den entsprechenden Benutzer deaktivieren (nicht löschen) und einen neuen anlegen.
Vielleicht sieht man durch die Deaktivierung, was dann nicht mehr funktioniert - und schaut da bei den Scripten nach. Und wenn`s nicht trivial ist kann man den Benutzer schnell wieder aktivieren.
Ansonsten mal sämtliche Logs duschschauen, irgendwo müsste ja ein "Anmeldung fehlgeschlagen" auftauchen. Aber welche Log - musst mal suchen
greetz
Ravers
Hi,
dann sollen die das im Rechenzentrum ändern. Kannst den Fall ja schildern. Wenn die dann keine bessere Idee haben (und das werden Sie vermutlich nicht), werden die es schon ohne murren ändern.
Denn permanentes Entsperren bringt auch nix, wie soll man dann bei einem richtigen "Einbruchsversuch" das lokalisieren??
Und "das alles seit Monaten läuft" - stimmt, bei mir auch - warum geh ich eigentlich noch zur Arbeit ??
Ansonsten mal mit Wireshark o.ä. den Server überwachen, und schauen, wo der Benutzername dann wieder auftaucht. Dann Zeit und die Serverjobs vergleichen - und hoffen, das man so weiterkommt.
Den Satz - "haben den SQL-Server einen halben Tag" ... "nachmittags einmal gesperrt" - was soll uns das sagen?
Habt ihr vormittags den Server gestoppt oder Nachmittags? - Sprich liegt es nun am SQL-Server??
greetz
Ravers
dann sollen die das im Rechenzentrum ändern. Kannst den Fall ja schildern. Wenn die dann keine bessere Idee haben (und das werden Sie vermutlich nicht), werden die es schon ohne murren ändern.
Denn permanentes Entsperren bringt auch nix, wie soll man dann bei einem richtigen "Einbruchsversuch" das lokalisieren??
Und "das alles seit Monaten läuft" - stimmt, bei mir auch - warum geh ich eigentlich noch zur Arbeit ??
Ansonsten mal mit Wireshark o.ä. den Server überwachen, und schauen, wo der Benutzername dann wieder auftaucht. Dann Zeit und die Serverjobs vergleichen - und hoffen, das man so weiterkommt.
Den Satz - "haben den SQL-Server einen halben Tag" ... "nachmittags einmal gesperrt" - was soll uns das sagen?
Habt ihr vormittags den Server gestoppt oder Nachmittags? - Sprich liegt es nun am SQL-Server??
greetz
Ravers
Moin.
Die Frage ist ein Evergreen. Checke die üblichen Verdächtigen:
-gespeicherte Netzwerkcredentials -> http://windows.microsoft.com/en-id/windows7/remove-stored-passwords-cer ... ggf. entfernen
-geplante Tasks und ebenso benutzerdefinierte Dienste prüfen: ist dort evtl. dieser Nutzer samt Kennwort eingetragen?
Die Frage ist ein Evergreen. Checke die üblichen Verdächtigen:
-gespeicherte Netzwerkcredentials -> http://windows.microsoft.com/en-id/windows7/remove-stored-passwords-cer ... ggf. entfernen
-geplante Tasks und ebenso benutzerdefinierte Dienste prüfen: ist dort evtl. dieser Nutzer samt Kennwort eingetragen?