Kuddel071089 9 Geschrieben 12. Februar 2016 Melden Teilen Geschrieben 12. Februar 2016 (bearbeitet) Hallo zusammen, wir haben derzeit das Problem, das ein User ständig gesperrt wird, da sich der User fehlerhaft an der Domäne authentifiziert hat. Im Log der DomainController (Netlogon) sehe ich zwar eine Fehlermeldung von seinem Client, aber immer erst, sobald der User gesperrt ist. 02/12 08:13:25 [LOGON] [7860] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\Mustermann from L7249-APBKW7 (via VNTS402) Entered 02/12 08:13:25 [LOGON] [7860] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\Mustermann from L7249-APBKW7 (via VNTS402) Returns 0xC0000234 D.h. ich kann im Log die eigentliche Fehlerquelle der falschen Anmeldung nicht ausmachen. Der o.g. Client wurde schon getauscht. Das Problem tritt leider weiterhin auf. Hat jemand eine Idee, wie ich das Ganze lösen kann? Vielen Dank schon einmal bearbeitet 12. Februar 2016 von Kuddel071089 Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 12. Februar 2016 Melden Teilen Geschrieben 12. Februar 2016 Der Benutzer kann nichts falsch eingeben und sich selbst dadurch sperren? Smartphone? Gruppenrichtlinien mit irgendeinem geplanten Task als Benutzereinstellung? Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 12. Februar 2016 Autor Melden Teilen Geschrieben 12. Februar 2016 Der Benutzer kann nichts falsch eingeben und sich selbst dadurch sperren? Smartphone? Gruppenrichtlinien mit irgendeinem geplanten Task als Benutzereinstellung? Unsere PW Regel besagt, dass der Account für 10 Minuten gesperrt wird, wenn 5 Mal das falsche PW eingegeben wurde. Smartphone ist nicht im EInsatz und Task laufen auch nicht Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 12. Februar 2016 Melden Teilen Geschrieben 12. Februar 2016 5x Lockout ist sowieso be....scheiden. Viel zu wenig und du siehst ja, wozu das führt. Ein idealer Mechanismus um den Admin zu beschäftigen und Leute "auszusperren". ich würd mal 50 setzen, denn dann erwischst du im Allgmeinen nur noch die Fehler und wirklichen "Brute Force" Versuche. L7249-APBKW7 (via VNTS402)Und das sagt dir nix? Ich weiß ja nicht, wie eure Geräte heißen, klingt aber irgendwie nach PCs und Terminalserver. Letzteres wäre wohl eine vergessene Terminalsession mit einem alten Kennwort. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 12. Februar 2016 Autor Melden Teilen Geschrieben 12. Februar 2016 5x Lockout ist sowieso be....scheiden. Viel zu wenig und du siehst ja, wozu das führt. Ein idealer Mechanismus um den Admin zu beschäftigen und Leute "auszusperren". ich würd mal 50 setzen, denn dann erwischst du im Allgmeinen nur noch die Fehler und wirklichen "Brute Force" Versuche. Und das sagt dir nix? Ich weiß ja nicht, wie eure Geräte heißen, klingt aber irgendwie nach PCs und Terminalserver. Letzteres wäre wohl eine vergessene Terminalsession mit einem alten Kennwort. ;) Bye Norbert L7249-APBKW7 = Client vom Anwender VNTS402 = DomainController Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 12. Februar 2016 Melden Teilen Geschrieben 12. Februar 2016 naja dann eben Client mit "manuell" gemappten Laufwerk, Geplantem Task oder sonstwas. Schau halt mal nach ;) Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 12. Februar 2016 Autor Melden Teilen Geschrieben 12. Februar 2016 naja dann eben Client mit "manuell" gemappten Laufwerk, Geplantem Task oder sonstwas. Schau halt mal nach ;) Der CLient wurde gestern komplett neu installiert. Die Laufwerke werden zentral per GPO gemappt. Tasks sind auch nicht vorhanden Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 12. Februar 2016 Melden Teilen Geschrieben 12. Februar 2016 (bearbeitet) Ist der DC nur DC, oder eventuell auch noch Exchange? Achso: https://support.microsoft.com/en-us/kb/189541 0xC0000234 User logon with Account Locked Kannst also schonmal ausschliessen, dass es ein fehlerhaftes Kennwort ist, denn das wäre 0xC000006A User logon with Misspelled or bad Password Wenn die Kiste neu aufgesetzt wurde, muß ja irgendwas darauf passiert sein. ;) Ich würd mir das doch nochmal genauer anschauen. bearbeitet 12. Februar 2016 von NorbertFe Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 12. Februar 2016 Autor Melden Teilen Geschrieben 12. Februar 2016 Ist der DC nur DC, oder eventuell auch noch Exchange? VNTS402 ist einer unsere 3 DCs Exchange läuft auf 2 anderen Servern Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 12. Februar 2016 Melden Teilen Geschrieben 12. Februar 2016 Sowas wie den Passwort Tresor schon kontrolliert? Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 12. Februar 2016 Autor Melden Teilen Geschrieben 12. Februar 2016 Sowas wie den Passwort Tresor schon kontrolliert? Wurde gelöscht. Hat keinen Erfolg gebracht. Danach wurde der Client neu installiert. Am einfachsten ist es glaube ich, wenn ich den User umbenenne... oder ? Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 12. Februar 2016 Melden Teilen Geschrieben 12. Februar 2016 Das behebt aber doch nicht dein Problem! Das wäre jetzt das Symptom bekämpfen. Willst du dann die nächsten Male immer deine User umbenennen? Ich würd mir den PC holen und schauen, ob das auch passiert, wenn der User nicht angemeldet ist. Dann kann man nach der Anmeldung schauen, welcher Prozess ggf. für die Sperrung sorgt. Ja das ist ggf. Zeitaufwändig aber erscheint mir sinnvoller als deine "Kurzschluß" Methode. ;) Die kann man evtl. für eine Übergangszeit nutzen, wenn das jetzt "mal eben" funktionieren muß. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 12. Februar 2016 Melden Teilen Geschrieben 12. Februar 2016 (bearbeitet) Der CLient wurde gestern komplett neu installiert. Die Laufwerke werden zentral per GPO gemappt. Tasks sind auch nicht vorhanden Und der Benutzer legt sich ganz sicher kein LW selbst an? Synchronisierungstool mit Outlook manuell installiert? EDIT: Sind rrgendwelche Programme installiert, die Benutzerkennungen speichern? bearbeitet 12. Februar 2016 von Sunny61 Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 12. Februar 2016 Autor Melden Teilen Geschrieben 12. Februar 2016 Kein eigenes LW und kein SyncTool. Der User war zum Test 30 Min nicht angemeldet an seinem Client. Der Account wurde trotzdem gesperrt. Das heißt, dass die Quelle ein andere Client sein muss. Der User behauptet aber natürlich, dass er sein PW nirgendwo anders eingegeben hat Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 12. Februar 2016 Melden Teilen Geschrieben 12. Februar 2016 (bearbeitet) Nein, das bedeutet es nicht. Kann bspw. noch ein Service sein. ;) wenn der user nicht angemeldet ist, steht dann im Log auch die selbe Workstation? bearbeitet 12. Februar 2016 von NorbertFe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.