fehlerhafte Logonversuche lokalisieren

[Mister_M 0]

Hallo zusammen,

es gab hier im Forum schon mal ein Thread zu dem gleichen Thema, dieser ist aber schon älter und ich wurde gebeten daher einen neuen Thread zu eröffnen.

 

 

Ich versuche auch herauszufinden von welchem Computer ein Domänen-Account gesperrt (wegen PW Falscheingabe) wurde. Obwohl ich über GPO das Audit Logon (im Deutschen: Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien / Überwachungsrichtlinie) aktiviert habe (Anmeldeereignisse: Erfolgreich, Fehler; Anmeldeversuche: Erfolgreich, Fehler), schreibt er mir nur die erfolgreichen Logonversuche (ID 4624) in das Securitylog, nicht aber die fehlgeschlagenen. Müsste ja ID4625 sein. Da finde ich keinen einzigen Eintrag dazu.

Das Programm lockoutstatus.exe zeigt mir aber auch den DC an bei dem die fehlgeschlagenen Versuche aufgeschlagen sind.

 

Kann mir jemand sagen wo ich noch nachschauen kann warum die fehlgeschlagenen Loginversuche nicht protokolliert werden? (Server 2008)

 

Vielen Dank

Mister_M

 

[tesso 375]

Accountsperrung ist aber ID 4740

[Mister_M 0]

Ja, aber ich würde ja gerne bevor der Account gesperrt wurde, sehen, wo die erfolglosen Loginversuche herkamen...

:Edit

Ich bin einen kleinen Schritt weiter. Die ID4625 (unbekannter Benutzername oder Kennwort) finde ich auf dem Client-PC auf dem der fehlerhafte Login-Versuch gestartet wurde. Aber eigentlich müsste das doch auf dem DC sein...

[4077 30]

Auf dem DC ist das eher Event 4740, wenn das Konto gesperrt wird.

[tesso 375]

Sind die DCs auch so konfiguriert, dass sie die fehlgeschlagenen Anmeldungen loggen?

[Mister_M 0]

@ tesso. Da bin ich mir eben nicht sicher. Kannst Du mir sagen wo ich das überprüfen kann?

 

Vielen Dank schonmal

[tesso 375]

DDCP

[Mister_M 0]

Super - das wars.

 

Vielen Dank!