Nach VPN Einwahl ist Account gesperrt

[pep 10]

Hallo liebe Leute,

 

folgende Situtation:

 

Wir haben einen Domain Controller auf Windows Server 2008 Basis.

Um von ausserhalb zu arbeiten, haben zusätzlich einen Windows Server 2003 für das VPN (Anleitung nach: Gruppenrichtlinien - Übersicht, FAQ und Tutorials ). Der VPN Server ist nicht Mitglied der Domäne.

 

Alles ging Jahre gut. Clienten konnten sich mit ihrem XP und Vista Rechnern einwählen. Alles ok.

 

Wähle ich mich aber nun mit meinem Windows 7 Prof. Rechner ein (Rechner ist Mitglied der Domäne) wird der Benutzer des Rechners gesperrt und muss im AD wieder freigeschalten werden.

Wir haben das jetzt mit 3 User auf ihrem Rechner getestet.

 

Könnt ihr mir sagen, warum unserer DC die Konten sperrt?

 

Ps: Ich habe schon Testweise einen OpenVPN Server aufgesetzt --> auch bei dessen Einwahl wird das Konto nach kurzer Zeit gesperrt.

 

Danke für eure Hilfe

[olc 18]

Hi pep,

 

vermutlich sendet irgend eine Applikation auf dem Windows 7 System die falschen Benutzerdaten.

Check doch zuallererst einmal den Credential Manager: Start --> Suche --> control keymgr.dll . Dort prüfst Du die Einträge, ggf. kannst Du diese testweise auch einmal löschen.

 

Ansonsten bleibt fürs erste das Security Eventlog des DCs, in dem Du prüfen kannst, von welcher Arbeitsstation / welchem Client aus das Konto gesperrt wurde. Vielleicht stellt sich ja heraus, daß es gar nicht das W7 System ist.

 

Viele Grüße

olc

[pep 10]

danke olcm,

 

im Sicherheitsprotokoll kann ich leider keinen Eintrag finden wie "Konto gesperrt". Nur An und Abmelde Infos.

 

Gibt es eine besondere Ereignis-ID, unter der sowas stehen würde?

 

Danke

Pep

[olc 18]

Hi pep,

 

schau einmal hier hinein, dort findest Du die Event IDs als auch ein Programm, mit dem Du die Events komfortabel exportieren kannst: How to use the EventCombMT utility to search event logs for account lockouts

 

Viele Grüße

olc

[pep 10]

hallo ,

 

im DC ist kein Log darüber zu finden

Find Events After: Mon Nov 23 05:19:38 2009 
Find Events Before: Mon Nov 23 10:19:38 2009 
Event IDs:   529 644 675 676 681 12294
No Event Text specified.
No Event Source specified.
No Between Event IDs specified.
Will Search the following servers:
DC01
DC02
To find these events we'll need a search running. It has already begun....

Spawning Thread for: DC01
Thread Running for: DC01
Spawning Thread for: DC02
Exiting thread for: DC01
Thread Running for: DC02
All threads Scheduled to run are running.
Exiting thread for: DC02
Total events searched: 0
Total matches found: 0
Servers/Logs Searched: 2
DLL Cache Contained: 0
SID Cache Contained: 0
Start time: Mon Nov 23 10:19:50 2009 
Finish time: Mon Nov 23 10:19:50 2009 
True records per second: 0.00

 

Und ich habe in dieser zeit heute schon einige gesperrte Konten gehabt. Es kann doch net sein, dass im DC da gar nix drüber steht?

[olc 18]

Hi,

 

warum ist "Security" ausgegraut und kein Eventlog ausgewählt?

Wenn Du eine Event ID suchen läßt, die Du im Eventlog definitiv siehst, bekommst Du dann im EventComBT eine Rückmeldung. Für mich sieht es so aus, als ob der Durchlauf schlichtweg nicht erfolgreich ist, da kein Eventlog ausgewählt wurde.

 

Alternativ schau Dir einmal PsLogList an, ehe Du Dich jetzt mit dem Tool beschäftigst anstatt mit dem Problem.

 

Viele Grüße

olc

[pep 10]

hallo olc,

 

also ich habe jetzt bissel mit openvpn getestet --> damit scheint es nun doch zu funktionieren. da wir sowieso den Umzug auf OpenVPN geplant hatten, ist jetzt ein guter Zeitpunkt.

 

Ps: danke für die Tips mit den Tools. Diese werde ich in Zukunft häufiger einsetzen.