smothy 0 Geschrieben 12. April 2019 Melden Teilen Geschrieben 12. April 2019 (bearbeitet) Hallo zusammen, leider weiß ich imoment nicht mehr weiter. Kurz zur Übersicht was vorhanden ist: 2 Domains 1 Hauptdomain 1 Subdomain Hauptdomain ( ein DC und dazu der Backup DC = 2 ) Seit ca. einer Woche und die Abständen werden immer kürzer, derzeit ca. 2 Minuten, werden meine beiden Benutzer ( einmal Admin Benutzer und einmal "normaler" Benutzer ) gesperrt. Ich hatte schon Konto deaktiviert, Passwort zwei/dreimal geändert - hilft nichts PsLoggedOn tool benutzt zum schauen wo der Benutzer als verbunden angezeigt wird Wie ich bisher im Internet gelesen habe könnte es daran liegen, dann der oder in dem Fall die zwei Benutzer auf verschiedenen Geräten nicht korrekt abgemeldet wurden und somit zuviele aktiv sind bzw durch die Passwort Änderungen welche ich durchgeführt hatte ( wobei ich zum Schluss wieder auf das original Passwort gegangen bin ) irgendein Server/client bei dem ich remote verbunden bin/war die Passwort-Abfrage wieder zurücksetzt bzw. eben als falsch ansieht. Was ich aber nicht verstehe ist, dass z.B. PsLoggedOn mir anzeigt wo ich überall verbunden sein soll da sind aber Rechner dabei wo ich nicht verbunden bin bzw. zum testen mich bei dem einen eingeloggt habe und dann sauber abgemeldet habe. desweiteren quser mir nicht anzeigt dass ich dort aktiv bin derzeit. Ob es an Mapping Scripte liegt welche im Hintergrund laufen ? wobei ich da auch nie das Passwort geändert habe. Danke im voraus hoffe jemand hat eine Idee. bearbeitet 12. April 2019 von smothy Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 12. April 2019 Melden Teilen Geschrieben 12. April 2019 Dann aktiviere das netlogon logging, dann siehst du ziemlich genau wer die SPerrung verursacht. http://realit1.blogspot.com/2012/04/troubleshooting-active-directory.html Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 12. April 2019 Autor Melden Teilen Geschrieben 12. April 2019 (bearbeitet) Hallo Norbert, danke zunächst für deine schnelle Antwort. Das Tool hatte ich vorher schon, hab es nochmal ausgeführt und sehe locked mit Bad Pwd Count 6 bei dem Backup DC und locked aber mit 0 Bad Pwd Count beim Haupt DC was kann ich jetzt genau daran erkennen ? bzw mit der Information anfangen und was oder wo beseitigen ? Ok. wenn ich nun in die Sicherheitslogs schaue - sehe ich als "Aufrufcomputername" den Gateway Server liegt hier der "Hund" begraben ? aber was wäre nun der nächste Schritt um das problem zu lösen ? Danke bearbeitet 12. April 2019 von smothy Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 12. April 2019 Melden Teilen Geschrieben 12. April 2019 Was ist denn ein Gateway Server? Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 12. April 2019 Autor Melden Teilen Geschrieben 12. April 2019 Das hab ich jetzt so betitelt - ist hier ein Linux ( Ubuntu ) Rechner der als Gateway / Firewall fungiert Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 12. April 2019 Melden Teilen Geschrieben 12. April 2019 Wir hatten sowas mal mit allen MDM User lief das MDM aus dem Ruder Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 12. April 2019 Autor Melden Teilen Geschrieben 12. April 2019 läuft hier nicht. hatte jetzt auch mal den Gateway Rechner heruntergefahren. Dachte so loggen sich aufjedenfall alle evlt im hintergrund laufenden Accounts ab. war aber leider nicht der Fall. Immer noch alle 2 Minuten gesperrt. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 12. April 2019 Melden Teilen Geschrieben 12. April 2019 vor einer Stunde schrieb smothy: Das hab ich jetzt so betitelt - ist hier ein Linux ( Ubuntu ) Rechner der als Gateway / Firewall fungiert Ja, und was bietet dieser REchner hinsichtlich Authentifzierung an? Irgendwo muß man ja offenbar die Credentials dort eintragen können. Oder taucht der Name/IP nur auf, weil das Ding nach intern immer seine IP als Source-IP setzt? Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 12. April 2019 Autor Melden Teilen Geschrieben 12. April 2019 (bearbeitet) Creditionals muss man im prinzip nur angeben wenn man sich einloggt oder Änderungen vor nimmt. dort sind rein nur die IP Adressen hinterlegt für das Gateway - für die Kommunikation nach außen und/oder intern mehr nicht. Ob es was bringt den wohl verantwortlichen DC ( Backup-DC ) neu zu starten ? Weil bei dem Logg-Tool 6 Bad Pwd Counts angezeigt werden für diesen Backup DC bearbeitet 12. April 2019 von smothy Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 12. April 2019 Melden Teilen Geschrieben 12. April 2019 Hast Du für beide Konten noch was gemeinsames? Mailkonto auf dem Handy oder so? Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 12. April 2019 Melden Teilen Geschrieben 12. April 2019 vor 53 Minuten schrieb smothy: Ob es was bringt den wohl verantwortlichen DC ( Backup-DC ) neu zu starten ? Nein, denn was sollte das bringen? (es gibt keinen Backup-DC!) Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 23. April 2019 Autor Melden Teilen Geschrieben 23. April 2019 Hallo zusammen, entschuldigt die verspätete Reaktion auf eure Unterstützung. Ich war nicht im Büro somit konnte ich nicht weiter dran arbeiten. Also es gibt zwei DC´s im Prinzip für die Hauptdomäne. Einer von den Servern läuft als Backup-DC von welchem wohl die ganze Sperrung auszugehen scheint. gemeinsames Mailkonto gibt es nicht für diese Benutzer, nein. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 23. April 2019 Melden Teilen Geschrieben 23. April 2019 Moin, erstens gibt es keinen "Backup-DC", wie Norbert schon richtig sagt. Zweitens: Was heißt "von welchem wohl die ganze Sperrung auszugehen scheint"? Und was genau heißt Zitat Also es gibt zwei DC´s im Prinzip für die Hauptdomäne Wieso "im Prinzip"? Gibt es also noch mehr als die zwei? Gibt es neben der "Hauptdomäne" noch weitere? Kontensperrungen resultieren aus falschen Anmeldungen. In praktisch allen Fällen liegt das daran, dass irgendwo was läuft, was ein falsches Kennwort gespeichert hat: Dienste, Tasks, Mobilgeräte ... Gruß, Nils Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 23. April 2019 Autor Melden Teilen Geschrieben 23. April 2019 Ok vielleicht unglücklich ausgedrückt, bitte um Entschuldigung. Es gibt einen Domain-Controller ( Server wo auch DNS usw drauf läuft ) und einen weiteren Server welcher als Replikat ( Sync Server ) zu dem 1. Server ( DC ) läuft. weiterhin gibt es zwei Domains die innerhalb der Struktur laufen. Eine Hauptdomain ( firma.net ) und eine Subdomain ( sub.firma.net ) Ansonsten laufen jeweils verschiedene Server mit unterschiedlichen Rollen/Features. Wie finde ich heraus wo was läuft das ein falsches Kennwort gespeichert hat ? Es hat auch keine Passwort-Änderung stattgefunden bei den betreffenden Accounts. Mobilgeräte sind definitiv nicht verbunden. Danke vor 22 Minuten schrieb NilsK: Zweitens: Was heißt "von welchem wohl die ganze Sperrung auszugehen scheint"? Damit meinte ich, dass ich mit PSLoggedOn Tool und Account Lockout Tool Informationen herausgelesen habe und mir dort angezeigt wurde welcher der beiden Server wohl dafür zuständig zu sein scheint. Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 23. April 2019 Autor Melden Teilen Geschrieben 23. April 2019 Zumal ich es schon ein sehr großer Zufall sein müsste, würde ich sagen, dass meine beiden Accounts der Account von einer Kollegin und ein noch existierender Account von einem Mitarbeiter ( ehemaliger Administrator - nicht mehr im Unternehmen ) gesperrt werden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.