johnjharlock
Goto Top

Sperrung AD-Account

Hallo zusammen,

benötige euer Schwarm Wissen.
Wir haben einen AD-Benutzer, welcher seit 4 Monaten mittlerweile täglich gesperrt wird. Lt. Lockoutstatus.exe wird das Kennwort fast genau alle 5 Minuten falsch eingegeben. Im Event log unseres DCs wird dazu aber nichts angezeigt.
Getestet habe ich folgendes:
- Austausch des Notebooks
- Neuerstellung des AD-Accounts
- Neueinrichtung des Smartphones (nutzen die Windowscredentials auch zur Authentifizierung am RADIUS und EXO)
- Ausschalten von Notebook und Handy (BadLogin findet trotzdem statt ?!)

Habt ihr noch Anhaltspunkte, woran es liegen kann?

Beste Grüße und Danke schon mal für alle Antworten

Content-ID: 3966312241

Url: https://administrator.de/contentid/3966312241

Ausgedruckt am: 05.11.2024 um 16:11 Uhr

Freak-On-Silicon
Freak-On-Silicon 14.09.2023 um 10:07:35 Uhr
Goto Top
Habt ihr Office 365 in Einsatz? Und gesynct?
user217
user217 14.09.2023 um 10:11:05 Uhr
Goto Top
Gehst du DC Ereignisprotokollierung Security und suchst eventid 4740, dort steht meistens drinnen von wo aus diese sperrung kam. Bei mehreren DC's logischerweise auf allen nachschauen, alternativ ein anständiges Monitoring z.B. zabbix laufen lassen dann weißt du sowas vor dem anruf des users.
JohnJHarlock
JohnJHarlock 14.09.2023 um 10:18:23 Uhr
Goto Top
Zitat von @Freak-On-Silicon:

Habt ihr Office 365 in Einsatz? Und gesynct?

Ja, unsere M365 ist über einen Azure-Sync angebunden und wird alle 30 Minuten gesynct


Zitat von @user217:

Gehst du DC Ereignisprotokollierung Security und suchst eventid 4740, dort steht meistens drinnen von wo aus diese sperrung kam. Bei mehreren DC's logischerweise auf allen nachschauen, alternativ ein anständiges Monitoring z.B. zabbix laufen lassen dann weißt du sowas vor dem anruf des users.

Jedes mal, wenn der Benutzer gesperrt wurde, habe ich die Eventlogs geprüft. Zu der Event-ID 4740 gibt es keinen Eintrag über diesen Benutzer
Tristan1
Tristan1 14.09.2023 um 10:19:21 Uhr
Goto Top
Moin,

klingt so als ob es nicht an dem Notebook / User liegt, sondern der Login von irgendwo automatisiert stattfindet. Gibt ja einige Geräte (Drucker zum Beispiel für Laufwerke, WLAN, ...), welche automatische Logins alle x Minuten erneut durchführen, falls der Login nicht funktioniert.

Ist das Problem das erste Mal nach einer Passwortänderung aufgetreten, so dass irgendwo ein altes Passwort hinterlegt ist?

Grüße
Tristan
JohnJHarlock
JohnJHarlock 14.09.2023 um 10:26:07 Uhr
Goto Top
Zitat von @Tristan1:

Moin,

klingt so als ob es nicht an dem Notebook / User liegt, sondern der Login von irgendwo automatisiert stattfindet. Gibt ja einige Geräte (Drucker zum Beispiel für Laufwerke, WLAN, ...), welche automatische Logins alle x Minuten erneut durchführen, falls der Login nicht funktioniert.

Die Netzlauwerke werden via GPO verbunden und verwenden dabei die Windowssession. Task laufen über diesen Benutzer nicht, da die Drucker zum Scannen einen eigenen Scan-User haben, welcher nur auf einen spezifischen Ordnerpfad Zugriff haben.

Ist das Problem das erste Mal nach einer Passwortänderung aufgetreten, so dass irgendwo ein altes Passwort hinterlegt ist?

Leider nein, das Problem trat auf einmal auf, ohne das etwas verändert wurde. Haben daraufhin das Kennwort geändert.
user217
user217 14.09.2023 um 10:29:10 Uhr
Goto Top
Zitat von @JohnJHarlock:

Zitat von @Freak-On-Silicon:

Habt ihr Office 365 in Einsatz? Und gesynct?

Ja, unsere M365 ist über einen Azure-Sync angebunden und wird alle 30 Minuten gesynct


Zitat von @user217:

Gehst du DC Ereignisprotokollierung Security und suchst eventid 4740, dort steht meistens drinnen von wo aus diese sperrung kam. Bei mehreren DC's logischerweise auf allen nachschauen, alternativ ein anständiges Monitoring z.B. zabbix laufen lassen dann weißt du sowas vor dem anruf des users.

Jedes mal, wenn der Benutzer gesperrt wurde, habe ich die Eventlogs geprüft. Zu der Event-ID 4740 gibt es keinen Eintrag über diesen Benutzer

na dann eben die 4625
JohnJHarlock
JohnJHarlock 14.09.2023 um 10:33:06 Uhr
Goto Top
na dann eben die 4625

Auch da gibt es nichts ;) hab alle Event-IDs, welche mit der Anmeldung zu tun haben geprüft
Tristan1
Tristan1 14.09.2023 um 10:37:27 Uhr
Goto Top
Steht im Azure Log denn etwas dazu? Vielleicht findet die Anmeldung ja über MS365 statt und die Sperrung synct dann aufs lokale AD?

Ist jetzt aber auch nur eine Vermutung, ich weiß gar nicht ob das so möglich ist.
JohnJHarlock
JohnJHarlock 14.09.2023 um 10:38:03 Uhr
Goto Top
Ich muss korrigieren, habe bei dem Event 4740 einen passenden Eintrag gefunden, jedoch mit einem leeren Aufrufcomputername.
JohnJHarlock
JohnJHarlock 14.09.2023 um 10:39:32 Uhr
Goto Top
Zitat von @Tristan1:

Steht im Azure Log denn etwas dazu? Vielleicht findet die Anmeldung ja über MS365 statt und die Sperrung synct dann aufs lokale AD?

Ist jetzt aber auch nur eine Vermutung, ich weiß gar nicht ob das so möglich ist.

Im AZ AD stehen nur erfolgreiche Anmeldungen des Outlookclients, aber es gibt keinen Eintrag über Fehlanmeldungen.
user217
user217 14.09.2023 um 10:40:43 Uhr
Goto Top
externe anmeldung, portal owa etc. sso über vpn an der firewall vielleicht
Mit ist gerade was richtig blödes aufgefallen, meine Security Eventlogs sind seit dem gestrigen update quasi fast leer und protokollieren nicht mehr!!!
Looser27
Looser27 14.09.2023 um 10:42:59 Uhr
Goto Top
Sowas passiert häufig mit Handys, sollten diese mit einem AD-User gegen das AD authentifiziert werden. Wird hier das Passwort nicht erneuert kommt es zu o.g. Effekt.
JohnJHarlock
JohnJHarlock 14.09.2023 um 10:45:08 Uhr
Goto Top
Zitat von @Looser27:

Sowas passiert häufig mit Handys, sollten diese mit einem AD-User gegen das AD authentifiziert werden. Wird hier das Passwort nicht erneuert kommt es zu o.g. Effekt.

Ich habe sein Handy ausgeschaltet und den BadLogin bekommen. Auch nach seiner Kennwortänderung habe ich die Authentifizierung neu eingerichtet.
anteNope
anteNope 14.09.2023 aktualisiert um 10:47:12 Uhr
Goto Top
Moin,
Vielleicht findet die Anmeldung ja über MS365 statt und die Sperrung synct dann aufs lokale AD?

Ich muss korrigieren, habe bei dem Event 4740 einen passenden Eintrag gefunden, jedoch mit einem leeren Aufrufcomputername.

Verwendet ihr die "Azure AD Connect Passthrough-Authentifizierung?" Dann würde der fehlende Computername passen und die Fehlanmeldungen beim lokalen AD aufschlagen, oder?

Ich hatte mal ein ähnliches Problem mit einem Mail-Konto auf einem iPad welches ohne Nachfrage permanent das Konto mit falschem Login malträtiert hat. Konnte das dann mit gezielten Netzwerkmittschnitten auf den Grund gehen. War eine tolle Schnitzeljagd.

Sprich Datenverkehr zum AD monitoren und darauf warten, dass das Event auftritt und dann auf die Suche gehen was die Quelle ist.
JohnJHarlock
JohnJHarlock 14.09.2023 um 10:51:29 Uhr
Goto Top
Zitat von @anteNope:

Verwendet ihr die "Azure AD Connect Passthrough-Authentifizierung?" Dann würde der fehlende Computername passen und die Fehlanmeldungen beim lokalen AD aufschlagen, oder?

Das läuft über einen adfs-Dienst. Dieser Prüft dann die Credentials mit dem AD ab.
Wie gesagt, im AZ AD gibt es auch keinen Fehler, da wird alles quasi als wunderbar angezeigt.
Tjelvar
Tjelvar 14.09.2023 um 10:57:20 Uhr
Goto Top
Moin!

Das Phänomen hatten wir auch mal. Hat sich dann rausgestellt dass der Kollege noch ein altes iPad hatte, dass den Mailaccount eingetragen hatte. Das iPad hatte seine kleine Tochter damals dann noch zum Spielen und so verwendet sodass es regelmäßig ein uns ausgeschaltet wurde.

Prüft doch mal ob noch irgendwo ein altes Gerät existiert dass das Konto eingerichtet haben könnte.

Gruß,
Tjelvar
user217
user217 14.09.2023 um 10:59:12 Uhr
Goto Top
man kann am exchange die endgeräte auch sperren, wäre noch eine idee.
Looser27
Looser27 14.09.2023 um 11:15:59 Uhr
Goto Top
Läuft evtl. irgendein Dienst mit den Credentials des Users auf einem fremden Gerät?
JohnJHarlock
JohnJHarlock 14.09.2023 um 12:04:11 Uhr
Goto Top
Zitat von @Tjelvar:

Prüft doch mal ob noch irgendwo ein altes Gerät existiert dass das Konto eingerichtet haben könnte.

Gruß,
Tjelvar

Er hat lediglich das Notebook und ein iPhone, das alte iPhone liegt formatiert bei mir im Schrank
JohnJHarlock
JohnJHarlock 14.09.2023 um 12:05:15 Uhr
Goto Top
Zitat von @user217:

man kann am exchange die endgeräte auch sperren, wäre noch eine idee.

habe ich jetzt probiert, leider versucht sich immer noch irgendwas irgendwo zu anzumelden
JohnJHarlock
JohnJHarlock 14.09.2023 um 12:08:57 Uhr
Goto Top
Zitat von @Looser27:

Läuft evtl. irgendein Dienst mit den Credentials des Users auf einem fremden Gerät?

Sollte nicht sein, für so etwas haben wir spezielle Service-User. Er selber hat auch nichts lokal erstellt
catcatcher
catcatcher 14.09.2023 um 12:09:29 Uhr
Goto Top
Kann ich auch bestätigen, bei unserem GF waren es 2 iPads @home mit eingerichtetem Mailaccount
user217
user217 14.09.2023 um 12:30:46 Uhr
Goto Top
wireshark am dc, vielleicht sieht man da mehr? Ich würd auch mal ins Firewall protokoll gucken bzw. potentielle Geräte dort sperren.. sowas ist sch... ich kenn das
maretz
maretz 14.09.2023 um 12:32:31 Uhr
Goto Top
Ich würde persönlich auch mal darauf tippen irgendwo zuhause aufm Endgerät die Daten eingetragen weil man dann mit dem Gerät bequemer arbeiten kann als mitm Telefon... und dann halt vergessen...
Mr-Gustav
Mr-Gustav 14.09.2023 um 12:36:51 Uhr
Goto Top
Hat der MA eventuell ein weiteres "privat" Gerät zuhause eingerichtet damit er die Mails von der Firma z.B. auf dem Tablet seiner Frau lesen kann? Dann hat er das ewig nicht mehr verwendet und das Tablet versucht dann immer auf die Mails zuzugreifen ?

Alternativ kann es ggf. auch mit Lexware zusammenhängen. Das hatten wir mal.
Was passiert denn wenn du dem Benutzer sein altes Kennwort wieder setzt also das bevor das ganze angefangen hat ?
Ist das der Spuk vorbei ?
Freak-On-Silicon
Freak-On-Silicon 14.09.2023 um 13:09:53 Uhr
Goto Top
Schonmal im O365 den User überall abgemeldet?
JohnJHarlock
JohnJHarlock 14.09.2023 um 13:35:36 Uhr
Goto Top
Zitat von @maretz:

Ich würde persönlich auch mal darauf tippen irgendwo zuhause aufm Endgerät die Daten eingetragen weil man dann mit dem Gerät bequemer arbeiten kann als mitm Telefon... und dann halt vergessen...

Wendern hätte er nur über OWA zugreifen können. Diese Verbindungen habe ich alle getrennt, so dass aktuell nur das lokale Outlook vom Notebook und Phone zugreift.
JohnJHarlock
JohnJHarlock 14.09.2023 um 13:36:52 Uhr
Goto Top
Zitat von @Mr-Gustav:

Alternativ kann es ggf. auch mit Lexware zusammenhängen. Das hatten wir mal.
Was passiert denn wenn du dem Benutzer sein altes Kennwort wieder setzt also das bevor das ganze angefangen hat ?
Ist das der Spuk vorbei ?

Haben wir gaanz am Anfang ausprobiert, leider ohne Erfolg.
Mr-Gustav
Mr-Gustav 18.09.2023 um 08:43:02 Uhr
Goto Top
Was passiert denn wenn du im AD unter Konto das Häckchen "Kennwort mit Umgekehrter Verschlüsselung speichern" aktivierst ?

Das hat bei uns immer geholfen.
Haken gesetzt ---- 3 Tage gewartet ---- Haken entfernt --- lief alles ohen Probleme
JohnJHarlock
JohnJHarlock 18.09.2023 um 08:48:15 Uhr
Goto Top
Zitat von @Mr-Gustav:

Was passiert denn wenn du im AD unter Konto das Häckchen "Kennwort mit Umgekehrter Verschlüsselung speichern" aktivierst ?

Das hat bei uns immer geholfen.
Haken gesetzt ---- 3 Tage gewartet ---- Haken entfernt --- lief alles ohen Probleme

Werde ich sofort testen, danke für den Tipp
JohnJHarlock
JohnJHarlock 19.09.2023 um 15:49:56 Uhr
Goto Top
Zitat von @JohnJHarlock:

Zitat von @Mr-Gustav:

Was passiert denn wenn du im AD unter Konto das Häckchen "Kennwort mit Umgekehrter Verschlüsselung speichern" aktivierst ?

Das hat bei uns immer geholfen.
Haken gesetzt ---- 3 Tage gewartet ---- Haken entfernt --- lief alles ohne Probleme

Werde ich sofort testen, danke für den Tipp

Leider hat sich der Account mit dem Häckchen drin im Stundentakt gesperrt.
JohnJHarlock
Lösung JohnJHarlock 26.09.2023 um 17:32:24 Uhr
Goto Top
Zitat von @maretz:

Ich würde persönlich auch mal darauf tippen irgendwo zuhause aufm Endgerät die Daten eingetragen weil man dann mit dem Gerät bequemer arbeiten kann als mitm Telefon... und dann halt vergessen...

Er hatte das Firmen-WLAN mit falschen Zugangsdaten auf seinem Handy..........
Ich danke euch trotzdem für eure Hilfe