knorkator

W10: Kurioses Anmeldeverhalten

Hallo zusammen,

wir haben hier in unserer Domäne ab und ein sehr verwirrendes Verhalten an unseren Clients.

Also:
Ein Mitarbeiter startet seinen Rechner morgens, drückt die geliebte Tastenkombi STRG+ALT+ENT und gibt sein Kennwort ein.
Nach Eingabe des Kennwortes kommt die Meldung:
Das angegebene Konto ist momentan gesperrt und kann für die Anmeldung nicht genutzt werden.

Konten werden bei uns nach mehrmaliger Falscheingabe für 30min gesperrt - Was in diesem Fall aber meist nicht zutrifft.
Das Konto ist nicht gesperrt, also kann ich hier auch nichts entsperren.

Was hilft, ist folgender "Umweg":
Der Nutzer wählt im Anmeldedialog die Anmeldung als anderer Benutzer aus und gibt seinen Usernamen + Kennwort ein.
Die Anmeldung funktioniert dann ohne Probleme.

Ich frage mich, wo die Rechner einen Pfurz quer sitzen haben.
Wo ist der Unterschied zwischen der gespeicherten Anmeldemaske des zuletzt angemeldeten Nutzers und dem Dialog "als anderer Benutzer...".

Nun muss ich zugeben, dass wir hier etwas unglücklich im AD unterwegs sind.
1. Lautet unsere AD-Domain "firma.com" -> Wir sind aber nicht der Inhaber der Internetdomain "firma.com".
2. Haben wir bei den User Logon Namen auch etwas Chaos.
User Logon Name ist vorname.nachname@firma-branche.de
Pre-Win2000 User ist Firma-com\NamenskürzelDesUsers (man achte auf den Bindestrich zwischen Firma und com).

Vielleicht kann sich ja jemand einen Reim daraus machen.

Vielen Dank im Voraus!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672517

Url: https://administrator.de/forum/w10-kurioses-anmeldeverhalten-672517.html

Ausgedruckt am: 10.05.2025 um 05:05 Uhr

StefanKittel
StefanKittel 17.04.2025 um 08:23:36 Uhr
Goto Top
Moin,

ich würde ja mal auf DNS und den Domänennamen tippen.

Outlook hat z.B. eine Vorrangregelung für M365 eingebaut.
Wenn Du ein Konto hinzufügst, prüft Outlook ob es diese Domäne in M365 findet. Wenn dies der Fall ist wird das reguläre Autodiscover übersprungen.

Ich kann mir vorstellen, dass Windows bei der Anmeldung sowas auch hat. Die andere Firme/Domäne wird zu M365 hinzugefügt und Windows schaut unregelmäßig dort nach und wechselt dann einfach ohne Rückfragen.

Stefan
maulwurf222
maulwurf222 17.04.2025 aktualisiert um 08:28:44 Uhr
Goto Top
Ich würde mal das lokale Profil vollständig löschen dann sollte es wieder funzen. Schau auch mal im Profilordner ob da irgendwelchen verwaisten Profile des Users liegen mit 00001 oder Temp etc.
kpunkt
kpunkt 17.04.2025 aktualisiert um 08:36:38 Uhr
Goto Top
Hm...ist es denn wirklich sein Konto, das ihm angezeigt wird oder nur ein ähnliches?
Was findet sich denn alles unter c:\users?
Also so eine wüste Geschichte wie geänderter Anzeigename und beim Runterfahren kackt die Kiste ab und merkt sich nur den letzten User der beim letzten Booten angezeigt wurde (eben der falsche).

Wüst und ich weiß nicht ob Windows das beim Login auch so machen könnte, aber ich hab schon irre Application-Accounts gesehen, die im Usernamen ein Leerzeichen an Ende hatten und dieses auch immer standardmäßig beim Start der Application angezeigt wurde.
Knorkator
Knorkator 17.04.2025 um 10:35:18 Uhr
Goto Top
Zitat von @StefanKittel:

Moin,

ich würde ja mal auf DNS und den Domänennamen tippen.

Outlook hat z.B. eine Vorrangregelung für M365 eingebaut.
Wenn Du ein Konto hinzufügst, prüft Outlook ob es diese Domäne in M365 findet. Wenn dies der Fall ist wird das reguläre Autodiscover übersprungen.

Ich kann mir vorstellen, dass Windows bei der Anmeldung sowas auch hat. Die andere Firme/Domäne wird zu M365 hinzugefügt und Windows schaut unregelmäßig dort nach und wechselt dann einfach ohne Rückfragen.

Stefan
Das vermute ich auch.
Problem ist halt, dass ich so eine Konstellation mit dem "falschen" AD-DNS Namen noch nicht hatte.
Office365, Autodiscover usw. funktioniert ansonsten völlig fehlerfrei.


Zitat von @maulwurf222:

Ich würde mal das lokale Profil vollständig löschen dann sollte es wieder funzen. Schau auch mal im Profilordner ob da irgendwelchen verwaisten Profile des Users liegen mit 00001 oder Temp etc.
Wie erwähnt.. es funktioniert ja wieder nachdem man den Namen per Hand eingegeben hat.
Ist auch nicht so als ob der Fehler am nächsten Tag wieder da ist.
Passiert halt nur ab und an und der Weg über die manuelle Eingabe funktioniert dann sofort.


Zitat von @kpunkt:

Hm...ist es denn wirklich sein Konto, das ihm angezeigt wird oder nur ein ähnliches?
Was findet sich denn alles unter c:\users?
Also so eine wüste Geschichte wie geänderter Anzeigename und beim Runterfahren kackt die Kiste ab und merkt sich nur den letzten User der beim letzten Booten angezeigt wurde (eben der falsche).

Wüst und ich weiß nicht ob Windows das beim Login auch so machen könnte, aber ich hab schon irre Application-Accounts gesehen, die im Usernamen ein Leerzeichen an Ende hatten und dieses auch immer standardmäßig beim Start der Application angezeigt wurde.
Ja, es ist wirklich das Konto des Nutzers. Da meldet sich dann auch kein anderer User an. Das Gerät wird Abends normal heruntergefahren und morgens kann sich der User dann nicht anmelden -> Aber halt nur ab und an.
Wir haben mehrere Hundert Nutzer und vielleicht so 1-2 Meldungen pro Woche.
Michi91
Michi91 17.04.2025 um 11:21:13 Uhr
Goto Top
Mal Wireshark dazwischenklemmen? Könnte mir auch sowas wie von @StefanKittel beschrieben vorstellen
Knorkator
Knorkator 17.04.2025 um 12:30:19 Uhr
Goto Top
Zitat von @Michi91:

Mal Wireshark dazwischenklemmen? Könnte mir auch sowas wie von @StefanKittel beschrieben vorstellen

Das doofe ist ja, dass es nicht reproduzierbar ist.
Irgendwann meldet sich einer und hat jetzt dieses Verhalten.
Wireshark ist dann an dem System nicht verfügbar und ein dazwischenklemmen mit Port Mirroring ist mir doch ein wenig zu aufwendig und ich wüsste auch garnicht, wonach ich da gucken soll.

Aber danke für den Input.
face-smile
Pjordorf
Pjordorf 17.04.2025 aktualisiert um 17:10:26 Uhr
Goto Top
Hallo,

Zitat von @Knorkator:
Ein Mitarbeiter startet seinen Rechner morgens, drückt die geliebte Tastenkombi STRG+ALT+ENT und gibt sein Kennwort ein.
Immer der gleiche Mitarbeiter/Rechner?
Schon mal in den Logs des Clients geschaut was da drin steht, da steht ne menge an Infos drin zum Anmelden/verweigerte Anmeldung. Auch am betreffenden DC steht sehr viel in Log warum eine Anmeldung nicht erfolgreich ist/war.
Immer am gleichen DC? Replizierung OK?

Das Konto ist nicht gesperrt, also kann ich hier auch nichts entsperren.
Weisst du woher? Spielt dein DC im AD eigentlich Lotto?
Und ein Kabelhai am DC und Anmeldungen mitschnorcheln. Wireshark, woran erkenne Ich eine AD Anmeldung
https://www.scada-secure.de/downloads/wireshark-dissector-f%C3%BCr-ads/
https://www.reddit.com/r/wireshark/comments/17q3e4h/failed_ad_logins/?rd ...

Gruss,
Peter
ManuManu2021
ManuManu2021 18.04.2025 um 14:30:48 Uhr
Goto Top
Hi,
das über GPO Benutzername beim PC starten leer ist hattest du bestimmt auch schon überlegt.
Man kann ja auch den Splashscreen abschalten. (um ein Klick zu sparen)
Knorkator
Knorkator 22.04.2025 um 09:02:13 Uhr
Goto Top
Zitat von @Pjordorf:
Immer der gleiche Mitarbeiter/Rechner?
Schon mal in den Logs des Clients geschaut was da drin steht, da steht ne menge an Infos drin zum Anmelden/verweigerte Anmeldung. Auch am betreffenden DC steht sehr viel in Log warum eine Anmeldung nicht erfolgreich ist/war.
Immer am gleichen DC? Replizierung OK?
Nein, weder PC noch User sind identisch.

Zitat von @Pjordorf:
Das Konto ist nicht gesperrt, also kann ich hier auch nichts entsperren.
Weisst du woher? Spielt dein DC im AD eigentlich Lotto?
Na von der "Active Directory Users an Computers" Konsole auf einem DC.
Eine Kontosperrung wird, meines Wissens nach, direkt an alle DCs repliziert.
Was meinst Du mit "Spielt Dein DC eigentlich Lotto?"

Danke für die Links, ich schaue es mir mal in einer Testumgebung an!
Das blöde ist ja, dass der Fehler nur ab und an erscheint.
Hier müsste ich Wireshark dauerhaft laufen lassen (das Aufzeichnungsverhalten wird man ja auf die entsprechenden Ports einschränken können) und bin mir nicht sicher, ob das Mitschneiden in dieser Art erlaubt ist.
Knorkator
Knorkator 22.04.2025 um 09:03:45 Uhr
Goto Top
Zitat von @ManuManu2021:

Hi,
das über GPO Benutzername beim PC starten leer ist hattest du bestimmt auch schon überlegt.
Man kann ja auch den Splashscreen abschalten. (um ein Klick zu sparen)

Hi,
Das hätte ich sogar gesehen.
face-smile

Nein, ist nicht aktiv.
Die betreffenden Geräte haben nur den einen Hauptbenutzer.