smothy 0 Geschrieben 25. April 2019 Autor Melden Teilen Geschrieben 25. April 2019 Es sieht danahc aus, dass das Problem behoben ist. War wohl ( bis jetzt jedenfals ) eine noch bestehende NAT Verbindung. Habe alle NAT Verbindungen "gekillt" und bis jetzt sieht es gut aus, kein Konto gesperrt vor 1 Stunde schrieb zahni: Wie schon viel weiter oben: Entweder fordert ein Proxy auf der Kiste eine Authentifizierung an oder jemand versucht sich von Außen zu authentifizieren. Es kann z.B. gut sein, dass ein altes "Admin-Konto" irgendwo noch angemeldet ist, obwohl es schob gelöscht wurde. Ein gut gemeinter Ratschlag: Wenn man von der Materie wenig Ahnung hat, sollte man kein selbstgebautes Linux-Gateway in Richtung Internet betreiben. Dafür gibt es fertige, und richtig konfigurierte, Lösungen, z.B. https://www.sophos.com/de-de/products/unified-threat-management.aspx Und danke für den Tip/Ratschlag, nur das Problem hier ist, dass ich in das Unternehmen gekommen bin, da war diese Struktur bereits am laufen - daher wird von mir derzeit nichts geändert. Erst wenn von mir die neue Struktur aufgebaut wird. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 vor 5 Stunden schrieb smothy: Wenn es dem eigentlichen Thema hilfreich wäre - was ich aber imoment nicht erkennen kann. Danke dennoch für dein Kommentar Naja für meine Wissenserweiterung ist das hilfreich. Hast du die Quelle für mich, oder nicht? Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 vor 2 Stunden schrieb smothy: Es sieht danahc aus, dass das Problem behoben ist. War wohl ( bis jetzt jedenfals ) eine noch bestehende NAT Verbindung. Habe alle NAT Verbindungen "gekillt" und bis jetzt sieht es gut aus, kein Konto gesperrt Ein NAT führt keine Anmeldung durch. Durch durch dein "killen" noch mehr ausgelöst haben. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 vor 11 Stunden schrieb smothy: folgendes habe ich jetzt noch auf dem Windows Server ausgelesen: netlogon.log 04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user1 from \\10.67.200.224 Entered 04/25 09:52:24 [LOGON] do: Avoid send to PDC since user user1 failed recently 04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user1 from \\10.67.200.224 Returns 0xC0000234 04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\root_user2 from \\10.67.200.224 Entered 04/25 09:52:24 [CRITICAL] NlPrintRpcDebug: Couldn't get EEInfo for I_NetLogonSamLogonWithFlags: 1761 (may be legitimate for 0xc0000234) 04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\root_user2 from \\10.67.200.224 Returns 0xC0000234 04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\root_user1 from \\10.67.200.224 Entered 04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Entered 04/25 09:52:24 [LOGON] do: Avoid send to PDC since user user3 failed recently 04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Returns 0xC0000234 04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Entered 04/25 09:52:24 [LOGON] do: Avoid send to PDC since user user3 failed recently 04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Returns 0xC0000234 04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Entered 04/25 09:52:24 [LOGON] do: Avoid send to PDC since user user3 failed recently Erläuterung: user1 - alter Kollege - nicht mehr im Unternehmen user2 - bin ich user3 - Kollegin ( ist nicht in der IT Abteilung ) IP 10.67.200.224 ( Gateway / Router ) über den wir die ganze Zeit sprechen do = Domain ( Hauptdomäne ) Der eigentliche Fehler muß weiter vorne stehen, das hier ist nur das Resultat... # for hex 0xc0000234 / decimal -1073741260 : STATUS_ACCOUNT_LOCKED_OUT ntstatus.h # The user account has been automatically locked because too # many invalid logon attempts or password change attempts # have been requested. # 1 matches found for "0xC0000234" Zitieren Link zu diesem Kommentar
Squire 269 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 (bearbeitet) was für Dienste laufen denn auf dem Gateway ... irgendwie muss man Dir alles aus der Nase ziehen Läuft da ggf. ein Samba mit? Das Windows Zeugs ist doch jetzt schnurz piep egal, nachdem du weißt, dass vom Gateway aus die Accounts gesperrt werden bearbeitet 25. April 2019 von Squire Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 26. April 2019 Autor Melden Teilen Geschrieben 26. April 2019 Hallo zusammen, also wie es aussieht hat es wirklich so geklappt wie ich gestern sagte, es waren wohl irgendwelche Verbindungen bzgl NAT noch aktiv welche über den Gateway / Router liefen in Zusammenhang mit masquerade. Nach dem "kill" Process ( sudo conntrack -D ) ging es - kein Konto mehr gesperrt, auch nicht heute morgen und das ging sonst immer innerhalb von paar Sekunden. somit gehe ich davon aus, dass es daran lag. Zitieren Link zu diesem Kommentar
Squire 269 Geschrieben 26. April 2019 Melden Teilen Geschrieben 26. April 2019 (bearbeitet) wie Tesso schon geschrieben hat: NAT macht keine Anmeldungen. ich würd mich mal auf die Suche machen, welche NAT Verbindungen/Endpunkte da reinkamen und sich versuchten zu authentifizieren. Kamen die NAT Verbindungen aus dem Internet oder aus dem internen Netz? bearbeitet 26. April 2019 von Squire Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 26. April 2019 Autor Melden Teilen Geschrieben 26. April 2019 kamen aus dem internen Netz. das masqerading war wohl falsch konfiguriert. Zitieren Link zu diesem Kommentar
Squire 269 Geschrieben 26. April 2019 Melden Teilen Geschrieben 26. April 2019 ähm ... dann müssten sich die Konten aber immer noch sperren - wenn die Authentifizierungsanfrage per "NAT" aus dem internen Netz kamen. Jetzt müssten sie ja direkt an die DCs gehen und die Accounts sich sperren ... Das Ganze hört sich komisch an! Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 26. April 2019 Autor Melden Teilen Geschrieben 26. April 2019 Imoment funktioniert es ohne Sperrung. Woher das ganze definitiv kam konnte ich bis jetzt so noch nicht ausfindig machen bzw. in den weiteren logs hab ich nichts entdecken können. Wenn jemand weiß wo ich noch nachschauen könnte oder welches ( ggf. ) Tool ich nutzen könnte um mehr oder genauere Informationen zu erhalten, wäre ich dankbar. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 26. April 2019 Melden Teilen Geschrieben 26. April 2019 Du musst/solltest wissen wie deine Umgebung funktioniert. Wir können nur raten. NAT hat nicht mit Authentifizierung zu tun. Ergo muß es auf dem Gateway noch etwas anderes geben das eine Authentifizierung macht. Was das sein kannst musst du selbst herausfinden. Schau dir doch mal die installierten Pakete an und dchaue was die tun. Vielleicht kannst du es so eingrenzen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.