NorbertFe 2.063 Geschrieben 30. März 2010 Melden Teilen Geschrieben 30. März 2010 Hi, OWA Anmeldungen sperren keine Konten, da es sich um einen nicht umfassten Anmeldetyp für Kontensperrungen handelt. Echt? Wäre mir neu. Anmeldungen über OWA zählen den Errorcounter sogar zweimal statt einmal nach oben. Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 31. März 2010 Melden Teilen Geschrieben 31. März 2010 Hi Norbert, oh je - stimmt. Ich habe das mit dem lastLogon / der lastLogonTimestamp verwechselt. Danke für den Hinweis. Die anderen Fragen sind trotzdem noch aktuell. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 31. März 2010 Melden Teilen Geschrieben 31. März 2010 Off-Topic:Ich muß doch auch mal Recht haben. Aber AGDLP find ich trotzdem doof. ;) ByeNorbert Zitieren Link zu diesem Kommentar
OliverZ 10 Geschrieben 31. März 2010 Autor Melden Teilen Geschrieben 31. März 2010 Hi, ok, obwohl Du wieder nicht konkret beantwortet hast, was ich gefragt habe, kann man anhand der Events nun zumindest sehen, daß es sich um ein Network Logon über NTLM handelt. Noch einmal die Frage ob Du das Webinterface von OWA nutzt oder Dich etwa per Popup authentifizierst. Ich vermute letzteres. Wie oft treten die Logon Versuche bei einem konkret betroffenen Benutzer auf, zu welcher Tageszeit und wie viele Logon Versuche werden (nach der Sperrung) unternommen? Viele Grüße olc Tut mir leid, ich habe deine Frage anscheinend missverstanden. Wir verwenden kein HTTP AUTH sondern das HTML Formular zur Anmeldung an OWA. Ansonsten muss ich sagen, wir haben die Fälle jetzt abgeklärt und es liegen keine fremden Verursacher vor. Bei drei Usern die gesagt haben, sie hätten das PWD nicht falsch eingegeben, kamen die Sperrungen von deren eigenen Computern. Die falschen Anmeldeversuche bis zur Sperrung werde ich nach deinem Rat auf 10 hochsetzen. Bezüglich der Sperrungen vom OWA Frontend Server. Wenn man sich mit falschen Daten anmeldet, wird man zu https://mailserver/exchweb/bin/auth/owalogon.asp?url=https://mailserver/exchange&reason=2 redirected. Also habe ich mit Agent Ransack alle IIS Logs nach diesem String durchsuchen lassen und habe alle IP Adressen die ich einem solchen Aufruf zuordnen konnte überprüft. Es waren Ausnahmslos alle IPs von Firmenmitarbeitern. Wie auch immer, anscheinend habe ich ein Phantom gejagt, weil jeder Mitarbeiter sagte, er/sie wisse von nichts und habe nichts gemacht... Danke für die Hilfe! Zitieren Link zu diesem Kommentar
s_sonnen 20 Geschrieben 31. März 2010 Melden Teilen Geschrieben 31. März 2010 Hi Oliver. Auf jeden Fall besser als ein "richtiges" Problem. ... und wieder mal ein Hinweis darauf nix zu glauben was man nicht selbst gesehen hat ... :D. ciao und einen angenehmen Resttag M. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 31. März 2010 Melden Teilen Geschrieben 31. März 2010 Hi, genau aus diesen "Phantom-Gründen" machen Einstellungen unterhalb der 10 Anmeldeversuche bis zur Sperrung meines Erachtens keinen Sinn. Besser sind sogar 20-50 ungültige Anmeldeversuche - je nachdem, ob ein zeitnahes / real-time Monitoring der Anmeldeversuche erfolgt oder nicht. Danke für Deine Rückmeldung und Gruß olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.