32
Sperrung AD-Account
Hallo zusammen,
benötige euer Schwarm Wissen.
Wir haben einen AD-Benutzer, welcher seit 4 Monaten mittlerweile täglich gesperrt wird. Lt. Lockoutstatus.exe wird das Kennwort fast genau alle 5 Minuten falsch eingegeben. Im Event log unseres DCs wird dazu aber nichts angezeigt.
Getestet habe ich folgendes:
- Austausch des Notebooks
- Neuerstellung des AD-Accounts
- Neueinrichtung des Smartphones (nutzen die Windowscredentials auch zur Authentifizierung am RADIUS und EXO)
- Ausschalten von Notebook und Handy (BadLogin findet trotzdem statt ?!)
Habt ihr noch Anhaltspunkte, woran es liegen kann?
Beste Grüße und Danke schon mal für alle Antworten
benötige euer Schwarm Wissen.
Wir haben einen AD-Benutzer, welcher seit 4 Monaten mittlerweile täglich gesperrt wird. Lt. Lockoutstatus.exe wird das Kennwort fast genau alle 5 Minuten falsch eingegeben. Im Event log unseres DCs wird dazu aber nichts angezeigt.
Getestet habe ich folgendes:
- Austausch des Notebooks
- Neuerstellung des AD-Accounts
- Neueinrichtung des Smartphones (nutzen die Windowscredentials auch zur Authentifizierung am RADIUS und EXO)
- Ausschalten von Notebook und Handy (BadLogin findet trotzdem statt ?!)
Habt ihr noch Anhaltspunkte, woran es liegen kann?
Beste Grüße und Danke schon mal für alle Antworten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3966312241
Url: https://administrator.de/contentid/3966312241
Printed on: May 4, 2024 at 19:05 o'clock
32 Comments
Latest comment
Habt ihr Office 365 in Einsatz? Und gesynct?
Gehst du DC Ereignisprotokollierung Security und suchst eventid 4740, dort steht meistens drinnen von wo aus diese sperrung kam. Bei mehreren DC's logischerweise auf allen nachschauen, alternativ ein anständiges Monitoring z.B. zabbix laufen lassen dann weißt du sowas vor dem anruf des users.
Ja, unsere M365 ist über einen Azure-Sync angebunden und wird alle 30 Minuten gesynct
Zitat von @user217:
Gehst du DC Ereignisprotokollierung Security und suchst eventid 4740, dort steht meistens drinnen von wo aus diese sperrung kam. Bei mehreren DC's logischerweise auf allen nachschauen, alternativ ein anständiges Monitoring z.B. zabbix laufen lassen dann weißt du sowas vor dem anruf des users.
Gehst du DC Ereignisprotokollierung Security und suchst eventid 4740, dort steht meistens drinnen von wo aus diese sperrung kam. Bei mehreren DC's logischerweise auf allen nachschauen, alternativ ein anständiges Monitoring z.B. zabbix laufen lassen dann weißt du sowas vor dem anruf des users.
Jedes mal, wenn der Benutzer gesperrt wurde, habe ich die Eventlogs geprüft. Zu der Event-ID 4740 gibt es keinen Eintrag über diesen Benutzer
Moin,
klingt so als ob es nicht an dem Notebook / User liegt, sondern der Login von irgendwo automatisiert stattfindet. Gibt ja einige Geräte (Drucker zum Beispiel für Laufwerke, WLAN, ...), welche automatische Logins alle x Minuten erneut durchführen, falls der Login nicht funktioniert.
Ist das Problem das erste Mal nach einer Passwortänderung aufgetreten, so dass irgendwo ein altes Passwort hinterlegt ist?
Grüße
Tristan
klingt so als ob es nicht an dem Notebook / User liegt, sondern der Login von irgendwo automatisiert stattfindet. Gibt ja einige Geräte (Drucker zum Beispiel für Laufwerke, WLAN, ...), welche automatische Logins alle x Minuten erneut durchführen, falls der Login nicht funktioniert.
Ist das Problem das erste Mal nach einer Passwortänderung aufgetreten, so dass irgendwo ein altes Passwort hinterlegt ist?
Grüße
Tristan
Zitat von @Tristan1:
Moin,
klingt so als ob es nicht an dem Notebook / User liegt, sondern der Login von irgendwo automatisiert stattfindet. Gibt ja einige Geräte (Drucker zum Beispiel für Laufwerke, WLAN, ...), welche automatische Logins alle x Minuten erneut durchführen, falls der Login nicht funktioniert.
Moin,
klingt so als ob es nicht an dem Notebook / User liegt, sondern der Login von irgendwo automatisiert stattfindet. Gibt ja einige Geräte (Drucker zum Beispiel für Laufwerke, WLAN, ...), welche automatische Logins alle x Minuten erneut durchführen, falls der Login nicht funktioniert.
Die Netzlauwerke werden via GPO verbunden und verwenden dabei die Windowssession. Task laufen über diesen Benutzer nicht, da die Drucker zum Scannen einen eigenen Scan-User haben, welcher nur auf einen spezifischen Ordnerpfad Zugriff haben.
Ist das Problem das erste Mal nach einer Passwortänderung aufgetreten, so dass irgendwo ein altes Passwort hinterlegt ist?
Leider nein, das Problem trat auf einmal auf, ohne das etwas verändert wurde. Haben daraufhin das Kennwort geändert.
Zitat von @JohnJHarlock:
Ja, unsere M365 ist über einen Azure-Sync angebunden und wird alle 30 Minuten gesynct
Jedes mal, wenn der Benutzer gesperrt wurde, habe ich die Eventlogs geprüft. Zu der Event-ID 4740 gibt es keinen Eintrag über diesen Benutzer
Ja, unsere M365 ist über einen Azure-Sync angebunden und wird alle 30 Minuten gesynct
Zitat von @user217:
Gehst du DC Ereignisprotokollierung Security und suchst eventid 4740, dort steht meistens drinnen von wo aus diese sperrung kam. Bei mehreren DC's logischerweise auf allen nachschauen, alternativ ein anständiges Monitoring z.B. zabbix laufen lassen dann weißt du sowas vor dem anruf des users.
Gehst du DC Ereignisprotokollierung Security und suchst eventid 4740, dort steht meistens drinnen von wo aus diese sperrung kam. Bei mehreren DC's logischerweise auf allen nachschauen, alternativ ein anständiges Monitoring z.B. zabbix laufen lassen dann weißt du sowas vor dem anruf des users.
Jedes mal, wenn der Benutzer gesperrt wurde, habe ich die Eventlogs geprüft. Zu der Event-ID 4740 gibt es keinen Eintrag über diesen Benutzer
na dann eben die 4625
na dann eben die 4625
Auch da gibt es nichts ;) hab alle Event-IDs, welche mit der Anmeldung zu tun haben geprüft
Steht im Azure Log denn etwas dazu? Vielleicht findet die Anmeldung ja über MS365 statt und die Sperrung synct dann aufs lokale AD?
Ist jetzt aber auch nur eine Vermutung, ich weiß gar nicht ob das so möglich ist.
Ist jetzt aber auch nur eine Vermutung, ich weiß gar nicht ob das so möglich ist.
Ich muss korrigieren, habe bei dem Event 4740 einen passenden Eintrag gefunden, jedoch mit einem leeren Aufrufcomputername.
Zitat von @Tristan1:
Steht im Azure Log denn etwas dazu? Vielleicht findet die Anmeldung ja über MS365 statt und die Sperrung synct dann aufs lokale AD?
Ist jetzt aber auch nur eine Vermutung, ich weiß gar nicht ob das so möglich ist.
Steht im Azure Log denn etwas dazu? Vielleicht findet die Anmeldung ja über MS365 statt und die Sperrung synct dann aufs lokale AD?
Ist jetzt aber auch nur eine Vermutung, ich weiß gar nicht ob das so möglich ist.
Im AZ AD stehen nur erfolgreiche Anmeldungen des Outlookclients, aber es gibt keinen Eintrag über Fehlanmeldungen.
externe anmeldung, portal owa etc. sso über vpn an der firewall vielleicht
Mit ist gerade was richtig blödes aufgefallen, meine Security Eventlogs sind seit dem gestrigen update quasi fast leer und protokollieren nicht mehr!!!
Mit ist gerade was richtig blödes aufgefallen, meine Security Eventlogs sind seit dem gestrigen update quasi fast leer und protokollieren nicht mehr!!!
Sowas passiert häufig mit Handys, sollten diese mit einem AD-User gegen das AD authentifiziert werden. Wird hier das Passwort nicht erneuert kommt es zu o.g. Effekt.
Zitat von @Looser27:
Sowas passiert häufig mit Handys, sollten diese mit einem AD-User gegen das AD authentifiziert werden. Wird hier das Passwort nicht erneuert kommt es zu o.g. Effekt.
Sowas passiert häufig mit Handys, sollten diese mit einem AD-User gegen das AD authentifiziert werden. Wird hier das Passwort nicht erneuert kommt es zu o.g. Effekt.
Ich habe sein Handy ausgeschaltet und den BadLogin bekommen. Auch nach seiner Kennwortänderung habe ich die Authentifizierung neu eingerichtet.
Moin,
Verwendet ihr die "Azure AD Connect Passthrough-Authentifizierung?" Dann würde der fehlende Computername passen und die Fehlanmeldungen beim lokalen AD aufschlagen, oder?
Ich hatte mal ein ähnliches Problem mit einem Mail-Konto auf einem iPad welches ohne Nachfrage permanent das Konto mit falschem Login malträtiert hat. Konnte das dann mit gezielten Netzwerkmittschnitten auf den Grund gehen. War eine tolle Schnitzeljagd.
Sprich Datenverkehr zum AD monitoren und darauf warten, dass das Event auftritt und dann auf die Suche gehen was die Quelle ist.
Vielleicht findet die Anmeldung ja über MS365 statt und die Sperrung synct dann aufs lokale AD?
Ich muss korrigieren, habe bei dem Event 4740 einen passenden Eintrag gefunden, jedoch mit einem leeren Aufrufcomputername.
Verwendet ihr die "Azure AD Connect Passthrough-Authentifizierung?" Dann würde der fehlende Computername passen und die Fehlanmeldungen beim lokalen AD aufschlagen, oder?
Ich hatte mal ein ähnliches Problem mit einem Mail-Konto auf einem iPad welches ohne Nachfrage permanent das Konto mit falschem Login malträtiert hat. Konnte das dann mit gezielten Netzwerkmittschnitten auf den Grund gehen. War eine tolle Schnitzeljagd.
Sprich Datenverkehr zum AD monitoren und darauf warten, dass das Event auftritt und dann auf die Suche gehen was die Quelle ist.
Zitat von @anteNope:
Verwendet ihr die "Azure AD Connect Passthrough-Authentifizierung?" Dann würde der fehlende Computername passen und die Fehlanmeldungen beim lokalen AD aufschlagen, oder?
Das läuft über einen adfs-Dienst. Dieser Prüft dann die Credentials mit dem AD ab.
Wie gesagt, im AZ AD gibt es auch keinen Fehler, da wird alles quasi als wunderbar angezeigt.
Moin!
Das Phänomen hatten wir auch mal. Hat sich dann rausgestellt dass der Kollege noch ein altes iPad hatte, dass den Mailaccount eingetragen hatte. Das iPad hatte seine kleine Tochter damals dann noch zum Spielen und so verwendet sodass es regelmäßig ein uns ausgeschaltet wurde.
Prüft doch mal ob noch irgendwo ein altes Gerät existiert dass das Konto eingerichtet haben könnte.
Gruß,
Tjelvar
Das Phänomen hatten wir auch mal. Hat sich dann rausgestellt dass der Kollege noch ein altes iPad hatte, dass den Mailaccount eingetragen hatte. Das iPad hatte seine kleine Tochter damals dann noch zum Spielen und so verwendet sodass es regelmäßig ein uns ausgeschaltet wurde.
Prüft doch mal ob noch irgendwo ein altes Gerät existiert dass das Konto eingerichtet haben könnte.
Gruß,
Tjelvar
man kann am exchange die endgeräte auch sperren, wäre noch eine idee.
Läuft evtl. irgendein Dienst mit den Credentials des Users auf einem fremden Gerät?
Zitat von @Tjelvar:
Prüft doch mal ob noch irgendwo ein altes Gerät existiert dass das Konto eingerichtet haben könnte.
Gruß,
Tjelvar
Gruß,
Tjelvar
Er hat lediglich das Notebook und ein iPhone, das alte iPhone liegt formatiert bei mir im Schrank
habe ich jetzt probiert, leider versucht sich immer noch irgendwas irgendwo zu anzumelden
Zitat von @Looser27:
Läuft evtl. irgendein Dienst mit den Credentials des Users auf einem fremden Gerät?
Läuft evtl. irgendein Dienst mit den Credentials des Users auf einem fremden Gerät?
Sollte nicht sein, für so etwas haben wir spezielle Service-User. Er selber hat auch nichts lokal erstellt
Kann ich auch bestätigen, bei unserem GF waren es 2 iPads @home mit eingerichtetem Mailaccount
wireshark am dc, vielleicht sieht man da mehr? Ich würd auch mal ins Firewall protokoll gucken bzw. potentielle Geräte dort sperren.. sowas ist sch... ich kenn das
Ich würde persönlich auch mal darauf tippen irgendwo zuhause aufm Endgerät die Daten eingetragen weil man dann mit dem Gerät bequemer arbeiten kann als mitm Telefon... und dann halt vergessen...
Hat der MA eventuell ein weiteres "privat" Gerät zuhause eingerichtet damit er die Mails von der Firma z.B. auf dem Tablet seiner Frau lesen kann? Dann hat er das ewig nicht mehr verwendet und das Tablet versucht dann immer auf die Mails zuzugreifen ?
Alternativ kann es ggf. auch mit Lexware zusammenhängen. Das hatten wir mal.
Was passiert denn wenn du dem Benutzer sein altes Kennwort wieder setzt also das bevor das ganze angefangen hat ?
Ist das der Spuk vorbei ?
Alternativ kann es ggf. auch mit Lexware zusammenhängen. Das hatten wir mal.
Was passiert denn wenn du dem Benutzer sein altes Kennwort wieder setzt also das bevor das ganze angefangen hat ?
Ist das der Spuk vorbei ?
Schonmal im O365 den User überall abgemeldet?
Zitat von @maretz:
Ich würde persönlich auch mal darauf tippen irgendwo zuhause aufm Endgerät die Daten eingetragen weil man dann mit dem Gerät bequemer arbeiten kann als mitm Telefon... und dann halt vergessen...
Ich würde persönlich auch mal darauf tippen irgendwo zuhause aufm Endgerät die Daten eingetragen weil man dann mit dem Gerät bequemer arbeiten kann als mitm Telefon... und dann halt vergessen...
Wendern hätte er nur über OWA zugreifen können. Diese Verbindungen habe ich alle getrennt, so dass aktuell nur das lokale Outlook vom Notebook und Phone zugreift.
Zitat von @Mr-Gustav:
Alternativ kann es ggf. auch mit Lexware zusammenhängen. Das hatten wir mal.
Was passiert denn wenn du dem Benutzer sein altes Kennwort wieder setzt also das bevor das ganze angefangen hat ?
Ist das der Spuk vorbei ?
Was passiert denn wenn du dem Benutzer sein altes Kennwort wieder setzt also das bevor das ganze angefangen hat ?
Ist das der Spuk vorbei ?
Haben wir gaanz am Anfang ausprobiert, leider ohne Erfolg.
Was passiert denn wenn du im AD unter Konto das Häckchen "Kennwort mit Umgekehrter Verschlüsselung speichern" aktivierst ?
Das hat bei uns immer geholfen.
Haken gesetzt ---- 3 Tage gewartet ---- Haken entfernt --- lief alles ohen Probleme
Das hat bei uns immer geholfen.
Haken gesetzt ---- 3 Tage gewartet ---- Haken entfernt --- lief alles ohen Probleme
Zitat von @Mr-Gustav:
Was passiert denn wenn du im AD unter Konto das Häckchen "Kennwort mit Umgekehrter Verschlüsselung speichern" aktivierst ?
Das hat bei uns immer geholfen.
Haken gesetzt ---- 3 Tage gewartet ---- Haken entfernt --- lief alles ohen Probleme
Was passiert denn wenn du im AD unter Konto das Häckchen "Kennwort mit Umgekehrter Verschlüsselung speichern" aktivierst ?
Das hat bei uns immer geholfen.
Haken gesetzt ---- 3 Tage gewartet ---- Haken entfernt --- lief alles ohen Probleme
Werde ich sofort testen, danke für den Tipp
Zitat von @JohnJHarlock:
Werde ich sofort testen, danke für den Tipp
Zitat von @Mr-Gustav:
Was passiert denn wenn du im AD unter Konto das Häckchen "Kennwort mit Umgekehrter Verschlüsselung speichern" aktivierst ?
Das hat bei uns immer geholfen.
Haken gesetzt ---- 3 Tage gewartet ---- Haken entfernt --- lief alles ohne Probleme
Was passiert denn wenn du im AD unter Konto das Häckchen "Kennwort mit Umgekehrter Verschlüsselung speichern" aktivierst ?
Das hat bei uns immer geholfen.
Haken gesetzt ---- 3 Tage gewartet ---- Haken entfernt --- lief alles ohne Probleme
Werde ich sofort testen, danke für den Tipp
Leider hat sich der Account mit dem Häckchen drin im Stundentakt gesperrt.
Zitat von @maretz:
Ich würde persönlich auch mal darauf tippen irgendwo zuhause aufm Endgerät die Daten eingetragen weil man dann mit dem Gerät bequemer arbeiten kann als mitm Telefon... und dann halt vergessen...
Ich würde persönlich auch mal darauf tippen irgendwo zuhause aufm Endgerät die Daten eingetragen weil man dann mit dem Gerät bequemer arbeiten kann als mitm Telefon... und dann halt vergessen...
Er hatte das Firmen-WLAN mit falschen Zugangsdaten auf seinem Handy..........
Ich danke euch trotzdem für eure Hilfe
