User wird ständig gesperrt

[Kuddel071089 9]

Hallo zusammen,

 

wir haben derzeit das Problem, das ein User ständig gesperrt wird, da sich der User fehlerhaft an der Domäne authentifiziert hat.

 

Im Log der DomainController (Netlogon) sehe ich zwar eine Fehlermeldung von seinem Client, aber immer erst, sobald der User gesperrt ist.

 

 

02/12 08:13:25 [LOGON] [7860] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\Mustermann from L7249-APBKW7 (via VNTS402) Entered
02/12 08:13:25 [LOGON] [7860] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\Mustermann from L7249-APBKW7 (via VNTS402) Returns 0xC0000234

 

D.h. ich kann im Log die eigentliche Fehlerquelle der falschen Anmeldung nicht ausmachen.

 

Der o.g. Client wurde schon getauscht. Das Problem tritt leider weiterhin auf.

 

Hat jemand eine Idee, wie ich das Ganze lösen kann?
 

 

Vielen Dank schon einmal

bearbeitet 12. Februar 2016 von Kuddel071089

[Sunny61 807]

Der Benutzer kann nichts falsch eingeben und sich selbst dadurch sperren? Smartphone? Gruppenrichtlinien mit irgendeinem geplanten Task als Benutzereinstellung?

[Kuddel071089 9]

Der Benutzer kann nichts falsch eingeben und sich selbst dadurch sperren? Smartphone? Gruppenrichtlinien mit irgendeinem geplanten Task als Benutzereinstellung?

 

Unsere PW Regel besagt, dass der Account für 10 Minuten gesperrt wird, wenn 5 Mal das falsche PW eingegeben wurde.

 

Smartphone ist nicht im EInsatz und Task laufen auch nicht

[NorbertFe 2.063]

5x Lockout ist sowieso be....scheiden. Viel zu wenig und du siehst ja, wozu das führt. Ein idealer Mechanismus um den Admin zu beschäftigen und Leute "auszusperren". ich würd mal 50 setzen, denn dann erwischst du im Allgmeinen nur noch die Fehler und wirklichen "Brute Force" Versuche.

 

L7249-APBKW7 (via VNTS402)

Und das sagt dir nix? Ich weiß ja nicht, wie eure Geräte heißen, klingt aber irgendwie nach PCs und Terminalserver. Letzteres wäre wohl eine vergessene Terminalsession mit einem alten Kennwort. ;)

 

Bye

Norbert

[Kuddel071089 9]

5x Lockout ist sowieso be....scheiden. Viel zu wenig und du siehst ja, wozu das führt. Ein idealer Mechanismus um den Admin zu beschäftigen und Leute "auszusperren". ich würd mal 50 setzen, denn dann erwischst du im Allgmeinen nur noch die Fehler und wirklichen "Brute Force" Versuche.

 

Und das sagt dir nix? Ich weiß ja nicht, wie eure Geräte heißen, klingt aber irgendwie nach PCs und Terminalserver. Letzteres wäre wohl eine vergessene Terminalsession mit einem alten Kennwort. ;)

 

Bye

Norbert

 

 

L7249-APBKW7 = Client vom Anwender

VNTS402 = DomainController

[NorbertFe 2.063]

naja dann eben Client mit "manuell" gemappten Laufwerk, Geplantem Task oder sonstwas. Schau halt mal nach ;)

[Kuddel071089 9]

naja dann eben Client mit "manuell" gemappten Laufwerk, Geplantem Task oder sonstwas. Schau halt mal nach ;)

 

Der CLient wurde gestern komplett neu installiert.

 

Die Laufwerke werden zentral per GPO gemappt.

 

Tasks sind auch nicht vorhanden

[NorbertFe 2.063]

Ist der DC nur DC, oder eventuell auch noch Exchange?

 

Achso: https://support.microsoft.com/en-us/kb/189541

0xC0000234 User logon with Account Locked

Kannst also schonmal ausschliessen, dass es ein fehlerhaftes Kennwort ist, denn das wäre

0xC000006A User logon with Misspelled or bad Password

Wenn die Kiste neu aufgesetzt wurde, muß ja irgendwas darauf passiert sein. ;) Ich würd mir das doch nochmal genauer anschauen.

bearbeitet 12. Februar 2016 von NorbertFe

[Kuddel071089 9]

Ist der DC nur DC, oder eventuell auch noch Exchange?

 

VNTS402 ist einer unsere 3 DCs

 

Exchange läuft auf 2 anderen Servern

[NorbertFe 2.063]

Sowas wie den Passwort Tresor schon kontrolliert?

[Kuddel071089 9]

Sowas wie den Passwort Tresor schon kontrolliert?

 

Wurde gelöscht.

 

Hat keinen Erfolg gebracht. Danach wurde der Client neu installiert.

 

Am einfachsten ist es glaube ich, wenn ich den User umbenenne... oder ?

[NorbertFe 2.063]

Das behebt aber doch nicht dein Problem! Das wäre jetzt das Symptom bekämpfen. Willst du dann die nächsten Male immer deine User umbenennen? Ich würd mir den PC holen und schauen, ob das auch passiert, wenn der User nicht angemeldet ist. Dann kann man nach der Anmeldung schauen, welcher Prozess ggf. für die Sperrung sorgt. Ja das ist ggf. Zeitaufwändig aber erscheint mir sinnvoller als deine "Kurzschluß" Methode. ;) Die kann man evtl. für eine Übergangszeit nutzen, wenn das jetzt "mal eben" funktionieren muß.

[Sunny61 807]

Der CLient wurde gestern komplett neu installiert.

 

Die Laufwerke werden zentral per GPO gemappt.

 

Tasks sind auch nicht vorhanden

Und der Benutzer legt sich ganz sicher kein LW selbst an? Synchronisierungstool mit Outlook manuell installiert?

 

EDIT: Sind rrgendwelche Programme installiert, die Benutzerkennungen speichern?

bearbeitet 12. Februar 2016 von Sunny61

[Kuddel071089 9]

Kein eigenes LW und kein SyncTool.

 

Der User war zum Test 30 Min nicht angemeldet an seinem Client.

 

Der Account wurde trotzdem gesperrt. Das heißt, dass die Quelle ein andere Client sein muss.

 

Der User behauptet aber natürlich, dass er sein PW nirgendwo anders eingegeben hat

[NorbertFe 2.063]

Nein, das bedeutet es nicht. Kann bspw. noch ein Service sein. ;)

wenn der user nicht angemeldet ist, steht dann im Log auch die selbe Workstation?

bearbeitet 12. Februar 2016 von NorbertFe