RDP Benutzer werden automatisch im Active Directory gesperrt
Hallo,
wir haben in unserem Unternehmen Personen , welche über ein Port Forwarding zugriff auf ihre Rechner im Büro von zu hause aus haben.
Der Port ist nach aussen hin 5 stellig und mapped auf den RDP Port des Bürorechners, also es wird normales source NAT betrieben.
Sobald sich die Person dann per RDP eingeloggt hat, wird sie plötzlich im Active Directory gesperrt, weil 3 mal falsches Passwort. Dies passiert allerdings erst nach einer gewissen Zeit.
Nachdem ich dann die Accounts wieder entsperre gehts von vorne los.
Die Passwörter werden auf jedenfalls immer richtig eingegeben. Daher die frage: Welche instanz ist denn da im hintergrund? Es ist einmal ein Windows 10 und einemal ein Windows 7 PC also nicht vom BS abhängig.
Ist euch da etwas bekannt, dass solche Bugs auftreten? Bzw könnt mir hier weiterhelfen um dem Rätsel auf die sprünge zu kommen.
danke schonmal
wir haben in unserem Unternehmen Personen , welche über ein Port Forwarding zugriff auf ihre Rechner im Büro von zu hause aus haben.
Der Port ist nach aussen hin 5 stellig und mapped auf den RDP Port des Bürorechners, also es wird normales source NAT betrieben.
Sobald sich die Person dann per RDP eingeloggt hat, wird sie plötzlich im Active Directory gesperrt, weil 3 mal falsches Passwort. Dies passiert allerdings erst nach einer gewissen Zeit.
Nachdem ich dann die Accounts wieder entsperre gehts von vorne los.
Die Passwörter werden auf jedenfalls immer richtig eingegeben. Daher die frage: Welche instanz ist denn da im hintergrund? Es ist einmal ein Windows 10 und einemal ein Windows 7 PC also nicht vom BS abhängig.
Ist euch da etwas bekannt, dass solche Bugs auftreten? Bzw könnt mir hier weiterhelfen um dem Rätsel auf die sprünge zu kommen.
danke schonmal
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 514171
Url: https://administrator.de/forum/rdp-benutzer-werden-automatisch-im-active-directory-gesperrt-514171.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
9 Kommentare
Neuester Kommentar
Moin
Um zu sehen, wie das Konto von wo gesperrt worden ist, musst Du halt mal die Protokolle durchforsten. Oder mal alternativ ein Tool wie z.B. den lockout examiner bemühen.
Mir wird gerade schlecht... Als erstes würde ich mal auf ein vernünftiges Design setzen. NAT auf die Rechner im Firmen-LAN?? Egal ob Du die Ports in höhere Sphären schiebst - das nützt nichts - sicherheitstechnisch eine Sache aus der Kategorie "katastrophal"...
Gruß
Um zu sehen, wie das Konto von wo gesperrt worden ist, musst Du halt mal die Protokolle durchforsten. Oder mal alternativ ein Tool wie z.B. den lockout examiner bemühen.
(...) welche über ein Port Forwarding zugriff auf ihre Rechner im Büro von zu hause aus haben (...)
Mir wird gerade schlecht... Als erstes würde ich mal auf ein vernünftiges Design setzen. NAT auf die Rechner im Firmen-LAN?? Egal ob Du die Ports in höhere Sphären schiebst - das nützt nichts - sicherheitstechnisch eine Sache aus der Kategorie "katastrophal"...
Gruß
Zitat von @aif-get:
Hallo,
wir haben in unserem Unternehmen Personen , welche über ein Port Forwarding zugriff auf ihre Rechner im Büro von zu hause aus haben.
Der Port ist nach aussen hin 5 stellig und mapped auf den RDP Port des Bürorechners, also es wird normales source NAT betrieben.
Sobald sich die Person dann per RDP eingeloggt hat, wird sie plötzlich im Active Directory gesperrt, weil 3 mal falsches Passwort. Dies passiert allerdings erst nach einer gewissen Zeit.
Nachdem ich dann die Accounts wieder entsperre gehts von vorne los.
Die Passwörter werden auf jedenfalls immer richtig eingegeben. Daher die frage: Welche instanz ist denn da im hintergrund? Es ist einmal ein Windows 10 und einemal ein Windows 7 PC also nicht vom BS abhängig.
Ist euch da etwas bekannt, dass solche Bugs auftreten? Bzw könnt mir hier weiterhelfen um dem Rätsel auf die sprünge zu kommen.
danke schonmal
Hallo,
wir haben in unserem Unternehmen Personen , welche über ein Port Forwarding zugriff auf ihre Rechner im Büro von zu hause aus haben.
Der Port ist nach aussen hin 5 stellig und mapped auf den RDP Port des Bürorechners, also es wird normales source NAT betrieben.
Sobald sich die Person dann per RDP eingeloggt hat, wird sie plötzlich im Active Directory gesperrt, weil 3 mal falsches Passwort. Dies passiert allerdings erst nach einer gewissen Zeit.
Nachdem ich dann die Accounts wieder entsperre gehts von vorne los.
Die Passwörter werden auf jedenfalls immer richtig eingegeben. Daher die frage: Welche instanz ist denn da im hintergrund? Es ist einmal ein Windows 10 und einemal ein Windows 7 PC also nicht vom BS abhängig.
Ist euch da etwas bekannt, dass solche Bugs auftreten? Bzw könnt mir hier weiterhelfen um dem Rätsel auf die sprünge zu kommen.
danke schonmal
Moin
Ist ja auch kein Wunder . Wenn ich mir so die Logs unserer Firewall angucke , versuchen immer dubiose IPs einen Portscan auf unsere öffentliche IP's. Das wird bei dir auch so sein . Schalte den Müll schnellstens ab und richte eine gescheite Lösung ein . IPsec oder SSL VPN mit entsprechenden Firewallregeln. Besser noch . Die Mitarbeiter können nur mit vorbereiteten gesicherten Geräten ins VPN.
Was du aktuell machst , ist mit das dümmste was man machen kann um den Zugriff von außen zu lösen.
Gruss
moin...
Der Port ist nach aussen hin 5 stellig und mapped auf den RDP Port des Bürorechners, also es wird normales source NAT betrieben.
egal... cat9 raus, und bluten....... sowas wir über ein VPN gemacht!
Sobald sich die Person dann per RDP eingeloggt hat, wird sie plötzlich im Active Directory gesperrt, weil 3 mal falsches Passwort. Dies passiert allerdings erst nach einer gewissen Zeit.
ja... da wird wohl "jemand" zugriff wollen.... wozu war noch gleich das VPN ?
Nachdem ich dann die Accounts wieder entsperre gehts von vorne los.
mach das nicht...
Die Passwörter werden auf jedenfalls immer richtig eingegeben. Daher die frage: Welche instanz ist denn da im hintergrund? Es ist einmal ein Windows 10 und einemal ein Windows 7 PC also nicht vom BS abhängig.
das ist egal...
Ist euch da etwas bekannt, dass solche Bugs auftreten? Bzw könnt mir hier weiterhelfen um dem Rätsel auf die sprünge zu kommen.
der Bug liegt beim Design.... mit VPN passiert sowas nicht
danke schonmal
gerne....
Frank
Zitat von @aif-get:
Hallo,
wir haben in unserem Unternehmen Personen , welche über ein Port Forwarding zugriff auf ihre Rechner im Büro von zu hause aus haben.
das gehört bestraft....Hallo,
wir haben in unserem Unternehmen Personen , welche über ein Port Forwarding zugriff auf ihre Rechner im Büro von zu hause aus haben.
Der Port ist nach aussen hin 5 stellig und mapped auf den RDP Port des Bürorechners, also es wird normales source NAT betrieben.
Sobald sich die Person dann per RDP eingeloggt hat, wird sie plötzlich im Active Directory gesperrt, weil 3 mal falsches Passwort. Dies passiert allerdings erst nach einer gewissen Zeit.
Nachdem ich dann die Accounts wieder entsperre gehts von vorne los.
Die Passwörter werden auf jedenfalls immer richtig eingegeben. Daher die frage: Welche instanz ist denn da im hintergrund? Es ist einmal ein Windows 10 und einemal ein Windows 7 PC also nicht vom BS abhängig.
Ist euch da etwas bekannt, dass solche Bugs auftreten? Bzw könnt mir hier weiterhelfen um dem Rätsel auf die sprünge zu kommen.
danke schonmal
Frank
Zitat von @itisnapanto:
Ihr nutzt also schon VPN und hängt das RDP Protokoll dennoch frei ins Netz ? Na dann ...
Ihr nutzt also schon VPN und hängt das RDP Protokoll dennoch frei ins Netz ? Na dann ...
habe ich mir auch so gedacht....
Frank
Moin
Wenn Du dich fragst, weshalb das Konto gesperrt ist, habe ich oben schon auf die Protokolle hingewiesen. Und auf die Möglichkeit, das auch über eine GUI zu betrachten: https://www.netwrix.com/account_lockout_examiner.html
Ansonsten: Mache das Design vernünftig und schaue, ob dann noch komische Dinge passieren.
Hubert
Wenn Du dich fragst, weshalb das Konto gesperrt ist, habe ich oben schon auf die Protokolle hingewiesen. Und auf die Möglichkeit, das auch über eine GUI zu betrachten: https://www.netwrix.com/account_lockout_examiner.html
Ansonsten: Mache das Design vernünftig und schaue, ob dann noch komische Dinge passieren.
Hubert
als allererstes richtet man ein zentrales Audit für Logins in der Domäne an den DCs ein, sonst findet man das nie ... aber wer das nicht hat findet den Grund für die Sperrung garantiert im Sicherheits-Reiter unterhalb der Windows Protokolle im Ereignisprotokoll der einzelnen Rechner, auf denen sich die Leute einloggen wollten.
Wir hatten das z.B. mal daß ein zu komplexes Paßwort zu NTLM Negotiation-fehlern führte, was der Rechner als fehlgeschlagenen Loginversuch interpretiert hat. Und nach 10 Versuchen war das Konto gesperrt, bzw. beim aif-get ist der lockout counter per GPO auf 3 eingestellt (ohne GPO ist das 10)
Wir hatten das z.B. mal daß ein zu komplexes Paßwort zu NTLM Negotiation-fehlern führte, was der Rechner als fehlgeschlagenen Loginversuch interpretiert hat. Und nach 10 Versuchen war das Konto gesperrt, bzw. beim aif-get ist der lockout counter per GPO auf 3 eingestellt (ohne GPO ist das 10)