ManfredRitter 1 Geschrieben 8. August 2017 Melden Teilen Geschrieben 8. August 2017 Hallo zusammen, ich habe irgendeinen Witzbold oder ein Programm im Netz was sich ständig mit unserem Administrator Konto anmeldet so dass dieser ständig gesperrt wird. Jetzt will ich rausfinden welche IP resp. Arbeitsstation das verursacht. Ich wusste mal wo das im Ereignisprotokoll steht finde es jetzt aber nicht mehr. Geht das nur noch über div. Policys und Skripte? Danke & liebe Grüße Manfred Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 8. August 2017 Melden Teilen Geschrieben 8. August 2017 Hallo und willkommen im Forum, doch das wird protokolliert. Auf allen DCs mal in das Security-Event-Log schauen. Ein möglicher Event ist 4771 "Kerberos pre-authentication failed". Dort steht auch die Client-Adress Oder 4625 "An account failed to log on". Dort gibt es die "Source Network Address". Dort kann man dann wieder in den Eventlog schauen. Natürlich muss die Protokollierung der Security Events in der Domäne richtig konfiguriert sein... Zitieren Link zu diesem Kommentar
Slavefighter 10 Geschrieben 8. August 2017 Melden Teilen Geschrieben 8. August 2017 Moin, Kennwort schon geändert? oder meintest du das?Computerkonfiguration – Windows Einstellungen – Sicherheitseinstellungen – Lokale Richtlinien – Überwachungsrichtlinien – <Anmeldeereignisse überwachen> LG Slave Zitieren Link zu diesem Kommentar
ManfredRitter 1 Geschrieben 8. August 2017 Autor Melden Teilen Geschrieben 8. August 2017 Super! Danke. Hab nach den falschen EVENT-ID´s gesucht. Hab den "Basdard" gefunden. Danke! Schade. Das war es doch nicht. Mir sperrt es das Benutzerkonto immer noch alle paar Minuten. Unter den o.g. Event bekomme ich jetzt keine aktuellen Ereignisse. Wo werden den einfach die Fehlanmeldungen Protokolliert? Unter \Windows-Protokolle\Sicherheit anscheinend nicht. Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 8. August 2017 Melden Teilen Geschrieben 8. August 2017 Moin, Anmeldeereignisse werden immer und nur auf dem DC protokolliert, der die Anmeldung bearbeitet. Habt ihr mehrere DCs, dann musst du die Logs auf allen durchsuchen. Der typische Fall ist, dass irgendwo ein Dienst oder Task mit dem Konto konfiguriert ist und sich falsch anmeldet. Das solltest du zum Anlass nehmen, dort das Anmeldekonto zu ändern. Es hat einen Grund, warum man für sowas auf keinen Fall zentrale Administratorkonten verwendet ... Gruß, Nils Zitieren Link zu diesem Kommentar
ManfredRitter 1 Geschrieben 8. August 2017 Autor Melden Teilen Geschrieben 8. August 2017 (bearbeitet) Hallo Nils, jup. Da hast du natürlich Recht. Wir haben dieses Netzwerk nur übernommen, weil es eben immer soviele Probleme gegeben hat. Ich kenn das auch noch (schande) aus "früheren" Zeiten wo ich selbst das Admin Konto für div. Dienste verwendet hab. Das löst ab und an Probleme ist aber natürlich fatal. Anyway. Ich habe 80 Rechner und finde in den Logs einfach nicht den richtigen Event: 1) 4625 ist das richtige Event für eine Fehlanmeldung? 2) In welchen Anwendungs- und Dienstprotokoll wird das getriggert? 3) Kann ich da nach irgendwas über die Volltextsuche suche, dass mir die Suche erleichtert? 4) Wenn ich diesen Client nicht finde, sperrt es das Konto trotzdem wenn ich im AD nur die Maschinen eingebe, an der er sich anmelden darf? Danke! bearbeitet 8. August 2017 von ManfredRitter Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 8. August 2017 Melden Teilen Geschrieben 8. August 2017 (bearbeitet) Die wichtigsten Events habe ich doch beschrieben. Du guckst zuerst nur auf allen DCs. Wenn Du was findest, kannst Du noch auf der dann bekannten Maschine forschen. Manchmal ist die Ursache eine Anwendung, an der sich User anmelden. Dann sitzt der User natürlich woanders. Hier helfen dann nur noch Logs innerhalb der Anwendung weiter. PS: Wenn Server und Client Kerberos verwenden, findest Du auf dem DC i.d.R. nur 4771 . Ich meine, bei NTLM kommen andere Events, die erkenne ich aber nur wenn ich sie sehe ;). Will sagen: Die fallen mir spontan nicht ein. Edit2: Wenn ich mich z.B. am DB2-Server falsch anmelde, kommt 4776 auf einem DC: The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0Logon Account: UserSource Workstation: ServerError Code: 0xC000006A bearbeitet 8. August 2017 von zahni Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 8. August 2017 Melden Teilen Geschrieben 8. August 2017 (bearbeitet) Moin, Anyway. Ich habe 80 Rechner und finde in den Logs einfach nicht den richtigen Event: du musst auf den DCs suchen. Nur auf denen und auf allen. Die Anmeldeeinschränkungen im Benutzerkonto dürften nur die interaktive Anmeldung betreffen, nicht die als Dienst oder Task. Wahrscheinlich solltest du die Domäne mal nach Dienst- und Task-Anmeldungen durchsuchen und dort aufräumen. [Dienst- und Task-Konten identifizieren | faq-o-matic.net]https://www.faq-o-matic.net/2008/12/25/dienst-und-task-konten-identifizieren/ [service-Accounts in einem Windows-Netzwerk finden | faq-o-matic.net]https://www.faq-o-matic.net/2017/02/27/service-accounts-in-einem-windows-netzwerk-finden/ Gruß, Nils bearbeitet 8. August 2017 von NilsK Zitieren Link zu diesem Kommentar
ManfredRitter 1 Geschrieben 8. August 2017 Autor Melden Teilen Geschrieben 8. August 2017 Danke. Ich schätze ich hab den Fehler gefunden. Wie gesagt, wir haben das hier übernommen als "Herausforderung". Eines der schlimmsten Netze die ich je gesehen habe. Es aufen immer noch auf 2008 Server, teils auf physischen Maschinen. Wir haben jetzt in einer kompletten Spiegelung der Serversysteme in eine VM und die Migration auf 2016 durchgespielt. Was auch soweit geklappt hat. Das meiste löste sich dann als die alten Server weg waren. Im Prinzip hätte man alles auf 0 Stellen sollen, aber bei ü. 80 Arbeitsplätzen... Naja, lange rede kurzer Sinn. Denke das war jetzt mein Fehler: Auf einem neuen 2016 Server (der nur in die Domäne eingehägt worden ist) übertragen wir ein paar Windows-Fremde Anwendungen (CAD-Lizenzserver etc.), damit die schonmal weg sind.Kann es also sein, dass ich mich am 2016 mit dem Admin anmelden kann, er aber dann nochmal Anmeldungen startet (ggf. andere Authentifizierungmethode) und der alte Server sie dann sperrt? Ich denke da an die o.g. Kerberos Authentifizierung. Authentifzierte 2008 ausschließlich mit NTLM? Bzw. tritt diese Problem sowieso auf wenn man einen 2016 in das Netzwerk bringt? Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 8. August 2017 Melden Teilen Geschrieben 8. August 2017 Moin, hm, also so pauschal: nein, für alle Fragen. Zunächst sollte man sich überhaupt nicht mit "dem" Administrator irgendwo anmelden. Dann übernehmen Applikationen die Identität des aufrufenden Kontos (also die gültige Anmeldung). Dienste nutzen im Unterschied dazu die Anmeldung, die als Dienstkonto hinterlegt sind. "Komplette Spiegelung der Serversysteme" - klingt gleichzeitig spannend und gruselig. Was immer ihr da macht, ich hoffe, ihr habt das Konzept von vorne bis hinten durchdacht. Gruß, Nils Zitieren Link zu diesem Kommentar
ManfredRitter 1 Geschrieben 8. August 2017 Autor Melden Teilen Geschrieben 8. August 2017 Okay, wenn nein, dann meinst du man kann einen 2016 einfach in die Domäne zu den 2008ern ohne Bedenken hinzufügen? Mit dem Administrator melde ich mich ja an den Servern an. Alle Apps die darauf laufen haben einen eigenen User mit ihren benötigten Rollen. Wir haben alle Server gesichert und sie in eine VM zurück gesichert, ebenso die "wichtigen" Clients um dort dann zu migrieren und das Verhalten zu beobachten.Die "Originale Umgebung" haben wir natürlich so gelassen wie sie sind. In einem der ersten Schritte war die Idee, die ganzen Zusatzanwendungen "Datev, Warenwirtschaft, CAD-Lizenzen usw". zuerst auf neue Server zu legen und dann die Windows Dienste (Server, Exchange etc.) zu migrieren. Im Test fiel uns das nicht auf, das er dieses Konto immer sperrt. Wir haben Admin Abstufungen. Es gibt den Oberadmin einen zweiten und dritten jenachdem wieviel rechte er braucht. Die Warenwirtschaft läuft z.B. nur rund mit dem zweiten der ein paar Rechte mehr hat, wird aber nur für den Dienst und nicht für die Anmeldung verwendet. Also, auf dem 2016 läuft bisher nur der CAD-Lizenzserver der aber als Systemdienst läuft. Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 8. August 2017 Melden Teilen Geschrieben 8. August 2017 Wenn technische User gebraucht werden, sollten die dediziert eingerichtet, mit einem sicheren Password versehen und nur für die eine Aufgabe bzw. Software verwendet werden. Das Design ist sicherer und Du siehst schnelle, wer da rumzick. Bei "Administrator" ist es ein besonderes Problem, weil es den sowohl lokal als auch in der Domäne gibt. Wenn sich eine Anwendung lokal als Dienst mit "administrator" anmeldet, passiert es schnell mal, dass damit dann der Domänen-Administrator gesperrt wird, wenn beide unterschiedliche Passwörter verwenden (was unbedingt empfehlenswert ist). Zitieren Link zu diesem Kommentar
ManfredRitter 1 Geschrieben 8. August 2017 Autor Melden Teilen Geschrieben 8. August 2017 Die Frage bleibt: Gibt es Probleme dass eine Sperrung des Benutzerkontos erfolgt, wenn ein 2016 Server sich mit einem Domänen-Benutzerkonto an einem 2008 Server anmeldet... 1 Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 8. August 2017 Melden Teilen Geschrieben 8. August 2017 Moin, das war in meiner obigen Antwort "nein" bereits enthalten. Wäre ja auch irgendwie nicht tragbar. Gruß, Nils Zitieren Link zu diesem Kommentar
Beste Lösung ManfredRitter 1 Geschrieben 11. August 2017 Autor Beste Lösung Melden Teilen Geschrieben 11. August 2017 Ahhhh. Es war tatsächlich ein Dienst. Hatte ihn übersehen. SORRY!!! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.