AD User Konto dauernd gesperrt

[tesso 373]

Angeblich nicht. Das kann ich aber nicht glauben. 

[daabm 1.334]

Naja, wir wissen halt zu wenig. Und der TO leider auch. So finden wir keine Lösung

[v-rtc 88]

Habt Ihr einen Ansprechpartner der Linux kann?

[smothy 0]

vor 14 Stunden schrieb tesso:

Was ist denn auf dem "Gateway Server" für eine ominöse Software drauf?

Bis jetzt raten wir immer noch herum.

 

Bisher wissen wir nur, daß das Gateway für die Sperrung verantwortlich ist. Du willst oder kannst aber nichts über die Software / Funktion auf dem Gateway sagen, bist aber sicher das es nichts damit zu tun hat.

Scheinst aber nicht zu wissen was dort wie konfiguriert ist.

 

Mal mit Abstand betrachtet: Was soll man dir raten?

Hallo, falls du/ihr wissen wollt welches System - es ist Ubuntu 14.02 LTS

Firewall / Config ist shorewall

 

Da ich das Teil nicht konfiguriert habe sondern ein Kollege welchen ich nicht kennengelernt habe, welcher bereits vor Jahre aus dem Unternehmen ausgeschieden ist, ist es schwieriger etwas nachzuvollziehen.

Und was das "raten" angeht, es geht vielmehr darum, was man ggf. untersuchen sollte oder wie man es angehen könnte auf einem ubuntu system nach diesem Problem zu suchen.

nach meinem Verständnis verhält sich das ähnlich wie bei einem Windows oder andere Software bei welchler man den Rat oder Hilfe gibt indem man sagt, führe das aus oder das...

 

Aber ich verstehe auch, dass es schwierig ist Unterstützung zu geben wenn man selbst nicht vor einem Gerät sitzt.  Dahingehend versuche ich so gut es geht eure Fragen zu beantworten.

vor 11 Stunden schrieb daabm:

Macht dieses "Gateway"auch irgendeine Authentifizierung von mobilen Devices gegen das AD? Oder gibt es eine externe Webseite mit Anmeldung? 

Hallo Daabm,

keinerlei mobile Devices, keine Authentifizierung demnach was das angeht. Auch keine Webseite mit Anmeldung.

 

Es wurde - wie ich bisher sehen konnte, dhcp, networking und eben shorewall konfiguriert - alles was damit zu tun hat, dass kommuniziert werden kann, intern als auch "extern" ( www )

 

 

ein wenig kenne ich mich ja mit Linux aus aber eben kein Profi. jedoch gibt es einen Kollegen der zwar Programmierer ist sich aber im Linux-Bereich bestens auskennt.

 

p.s. hätte ja sein können, es gibt hier Wege die man durchgehen kann/prüfen kann bei diesem Problem.

Wie schon erwähnt, ähnlich wie bei Windows wenn z.b. nur eingeschränke Connectivität besteht prüft man zuerst das oder das....

 

Also entschuldigt wenn ich es nicht so rüberbringen konnte, dass ihr es aus der Ferne versteht oder helfen könnt. Dennoch Danke ich euch vielmals dass ihr euch insoweit beteiligt habt.

bearbeitet 25. April 2019 von smothy

[tesso 373]

Das Stichwort shorewall hättest du uns schon eher mitteilen können. 

Also ist das Gateway doch ein Router. Ich vermute auf dem Ding ein Saudi oder ähnliches der eine Authentifizierung macht.

 

[smothy 0]

Ok - entschuldige, hätte ich wohl ggf. erwähnen sollen. Mühseelig ernährt sich das....

 

Was genau meinst du mit "ein Saudi" ?!

p.s, shorewall hatte ich mit dem Linux Kollegen vor ca. 3 Wochen eingerichtet. Und plus/minus hat es da angefangen mit dem ganzen würde ich sagen.

[smothy 0]

folgendes habe ich jetzt noch auf dem Windows Server ausgelesen: netlogon.log

 

04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user1 from \\10.67.200.224 Entered
04/25 09:52:24 [LOGON] do: Avoid send to PDC since user user1 failed recently
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user1 from \\10.67.200.224 Returns 0xC0000234
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\root_user2 from \\10.67.200.224 Entered
04/25 09:52:24 [CRITICAL] NlPrintRpcDebug: Couldn't get EEInfo for I_NetLogonSamLogonWithFlags: 1761 (may be legitimate for 0xc0000234)
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\root_user2 from \\10.67.200.224 Returns 0xC0000234
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\root_user1 from \\10.67.200.224 Entered
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Entered
04/25 09:52:24 [LOGON] do: Avoid send to PDC since user user3 failed recently
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Returns 0xC0000234
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Entered
04/25 09:52:24 [LOGON] do: Avoid send to PDC since user user3 failed recently
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Returns 0xC0000234
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Entered
04/25 09:52:24 [LOGON] do: Avoid send to PDC since user user3 failed recently

Erläuterung:

user1 - alter Kollege - nicht mehr im Unternehmen

user2 - bin ich

user3 - Kollegin ( ist nicht in der IT Abteilung )

IP 10.67.200.224 ( Gateway / Router ) über den wir die ganze Zeit sprechen

do = Domain ( Hauptdomäne )

[tesso 373]

vor einer Stunde schrieb smothy:

Ok - entschuldige, hätte ich wohl ggf. erwähnen sollen. Mühseelig ernährt sich das....

 

Was genau meinst du mit "ein Saudi" ?!

p.s, shorewall hatte ich mit dem Linux Kollegen vor ca. 3 Wochen eingerichtet. Und plus/minus hat es da angefangen mit dem ganzen würde ich sagen.

Blöde Autokorrektur am Handy 

Saudi = squid 

 

nach deinem Log versucht das Gateway doch eine Anmeldung, wie wir vermutet hatten. Jetzt musst du nur schauen warum. Software auf dem Gateway analysieren und Konfig anschauen. 

Wenn du das Teil erst vor drei Wochen konfiguriert hast solltest du ja noch wissen was dort drauf ist. 

Ansonsten schau in die Dokumentation des Systems. ?

[smothy 0]

Das stimmt, ein squid wurde auch konfiguriert zu diesem Zeitpunkt vor ca. 3 Wochen. squid3

 

Du meinst Software "shorewall" und ggf. squid3

 

Also zum testen habe ich mal squid3 gestoppt - hat nichts gebracht.

auch das stoppen von shorewall hat nichts gebracht.

 

evlt. noch zu erwähnen, dass auf dem Linux Server "masquerading" läuft

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

 

bearbeitet 25. April 2019 von smothy

[Dr.Melzer 191]

vor 23 Stunden schrieb smothy:

Dennoch sagt die Statistik was anderes und das wollte ich damit ausdrücken. Dass es einfach prozentual mehr gehackte Windows Rechner gibt als Linux.

Ich bin ja ein echter Statistikfan.

 

Kannst du mir bitte mal die Quelle zu der von dir genannten Statistik geben?

[smothy 0]

Wenn es dem eigentlichen Thema hilfreich wäre - was ich aber imoment nicht erkennen kann.

Danke dennoch für dein Kommentar

[tesso 373]

Wer ist

10.67.200.224

?

[zahni 550]

Und ich würde mal prüfen, ob das Gateway nicht zufällig auf der Internet-Seite ein paar Port offen hat.

Und um die nächste Frage zu beantworten (wie macht man das):  https://nmap.org/zenmap/

Von einem anderen Gerät mit Internet-Zugang.

 

[smothy 0]

vor 58 Minuten schrieb tesso:

Wer ist

10.67.200.224

?

das der Gateway / Router Server ( Linux )

[zahni 550]

Wie schon viel weiter oben: Entweder fordert ein Proxy auf der Kiste eine Authentifizierung an oder jemand versucht sich von Außen zu authentifizieren.

Es kann z.B. gut sein, dass ein altes "Admin-Konto" irgendwo noch angemeldet ist, obwohl es schob gelöscht wurde. 

Ein gut gemeinter Ratschlag: Wenn man von der Materie wenig Ahnung hat, sollte man kein selbstgebautes Linux-Gateway in Richtung Internet betreiben. 

Dafür gibt es fertige, und richtig konfigurierte, Lösungen, z.B. https://www.sophos.com/de-de/products/unified-threat-management.aspx