Domänen Admin wird automatisch gesperrt

[chock 10]

Hallo Forum,

 

wir haben nach dem Wechsel des Passwortes des Domänen Administrator ein Problem.

Das Konto des Admins wird ca. alle 10 Minuten gesperrt. Wir haben in den GPO´s die Fehlerprotokollierung in den lokalen Sicherheitsrichtlinien aktiviert.

In der Ereignisanzeige können wir den Fehler nicht eingrenzen. Es wird nichts auffälliges eingetragen.

 

Woran könnte das liegen? Jemand eine Idee wo man ansetzen könnte? Wir haben eine W2K3 Domäne.

 

Danke

[XP-Fan 216]

Hallo,

 

wird dieses Konto für Aufgaben / Dienste / Tasks verwendet ?

[Daim 12]

Hola,

 

Wir haben in den GPO´s die Fehlerprotokollierung in den lokalen Sicherheitsrichtlinien aktiviert.

 

welche genau?

 

Woran könnte das liegen? Jemand eine Idee wo man ansetzen könnte?

 

Das liegt höchstwahrscheinlich daran, dass z.B. der Domänen-Admin in einem geplanten Task, Backupjob oder ähnlichem hinterlegt wurde. Aktiviere dazu in der Default Domain Controllers Policy die folgende Richtlinie:

 

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\"Anmeldeversuche überwachen".

 

In der Policy musst du die "fehlgeschlagenen" Anmeldeversuche protokollieren. Danach kontrollierst du das Sicherheitsprotokoll aller DCs.

[chock 10]

Hallo,

 

das Konto wird auch vereinzelt für Dienste geändert. Diese haben wir aber hoffentlich alle geändert.

 

In den Sicherheitsrichtlienien haben wir "Anmeldeversuche überwachen" aktiviert.

En paar Dienste konnte ich noch finden. Jetzt wird das Kennwort ca. alle 60 Minuten noch gesperrt.

 

Im Log tauchen dabei nur noch folgende Fehlerereigniss auf:

 

Event 675

Fehlgeschlagene Vorbestätigung:

Benutzername: admin

Benutzerkennung: domäne\admin

Dienstname: krbtgt/domäne

Vorauthentifizierungstyp: 0x2

Fehlercode: 0x12

Clientadresse: ip eines domänen controllers

 

Event 673

Authentifizierungsticketanforderung:

Benutzername: admin

Angegebener Bereichsname: domäne

Benutzerkennung: -

Dienstname: krbtgt/domäne

Dienstkennung: -

Ticketoptionen: 0x40810010

Ergebniscode: 0x12

Ticketverschlüsselungstyp: -

Vorauthentifizierungstyp: -

Clientadresse: ip eines domänen controllers

Zertifikatherausgebername:

Zertifikatseriennummer:

Zertifikatfingerabdruck:

[olc 18]

Daß es Sicherheitstechnisch der Super-GAU ist, das Domänen-Admin Konto für Dienste zu nutzen, ist Euch bewußt...?

 

Prüfe wie oben angegeben alle Dienste, gplante Tasks und Scripts etc. Dort wird irgendwo das Konto mit alten Anmeldefunktionen noch hinterlegt sein.

 

Viele Grüße

olc

[chock 10]

Hallo,

 

genau aus diesem habe ich auch das Passwort geändert und neue User angelegt für Dienste usw. angelegt.

 

Nur wie bekomme ich nun raus wo noch überall was am laufen ist?

[NorbertFe 2.027]

MOM 2005 Resource Kit schau dir mal die Password Updater Optionen an. ;)

 

Bye

Norbert

[chock 10]

Hallo Forum,

 

wir haben nun den letzten Dienst finden können.Danke.

 

Nun taucht in der Ereignisanzeige des Verzeichnisdienstes eine Replikationswarnung mit dem Domänen-Administartor und einem User auf. Es ist die Meldung 1083 und 1955. Die Meldung kommen seit der Änderung des Passworts des Domänen-Admins.

 

Doppelt Einträge haben wir schon mit LDP gesucht, aber keine gefunden. Repadmin /sync funktioniert auch ohne Probleme.

 

Das Problem tritt zwischen 2 Domainen Controller in einen Standort auf.

 

Kennt jemand eine Lösung?

 

Danke

[olc 18]

Hi,

 

mach dazu doch am besten einen neuen Thread auf inklusive der genauen Fehlermeldung.

 

Viele Grüße

olc