AD User Konto dauernd gesperrt

[smothy 0]

Es sieht danahc aus, dass das Problem behoben ist. War wohl ( bis jetzt jedenfals ) eine noch bestehende NAT Verbindung.

Habe alle NAT Verbindungen "gekillt" und bis jetzt sieht es gut aus, kein Konto gesperrt

vor 1 Stunde schrieb zahni:

Wie schon viel weiter oben: Entweder fordert ein Proxy auf der Kiste eine Authentifizierung an oder jemand versucht sich von Außen zu authentifizieren.

Es kann z.B. gut sein, dass ein altes "Admin-Konto" irgendwo noch angemeldet ist, obwohl es schob gelöscht wurde. 

Ein gut gemeinter Ratschlag: Wenn man von der Materie wenig Ahnung hat, sollte man kein selbstgebautes Linux-Gateway in Richtung Internet betreiben. 

Dafür gibt es fertige, und richtig konfigurierte, Lösungen, z.B. https://www.sophos.com/de-de/products/unified-threat-management.aspx

 

Und danke für den Tip/Ratschlag, nur das Problem hier ist, dass ich in das Unternehmen gekommen bin, da war diese Struktur bereits am laufen - daher wird von mir derzeit nichts geändert. Erst wenn von mir die neue Struktur aufgebaut wird.

[Dr.Melzer 191]

vor 5 Stunden schrieb smothy:

Wenn es dem eigentlichen Thema hilfreich wäre - was ich aber imoment nicht erkennen kann.

Danke dennoch für dein Kommentar

Naja für meine Wissenserweiterung ist das hilfreich. Hast du die Quelle für mich, oder nicht?

[tesso 377]

vor 2 Stunden schrieb smothy:

Es sieht danahc aus, dass das Problem behoben ist. War wohl ( bis jetzt jedenfals ) eine noch bestehende NAT Verbindung.

Habe alle NAT Verbindungen "gekillt" und bis jetzt sieht es gut aus, kein Konto gesperrt

Ein NAT führt keine Anmeldung durch. Durch durch dein "killen" noch mehr ausgelöst haben.

[daabm 1.387]

vor 11 Stunden schrieb smothy:

folgendes habe ich jetzt noch auf dem Windows Server ausgelesen: netlogon.log

 

04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user1 from \\10.67.200.224 Entered
04/25 09:52:24 [LOGON] do: Avoid send to PDC since user user1 failed recently
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user1 from \\10.67.200.224 Returns 0xC0000234
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\root_user2 from \\10.67.200.224 Entered
04/25 09:52:24 [CRITICAL] NlPrintRpcDebug: Couldn't get EEInfo for I_NetLogonSamLogonWithFlags: 1761 (may be legitimate for 0xc0000234)
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\root_user2 from \\10.67.200.224 Returns 0xC0000234
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\root_user1 from \\10.67.200.224 Entered
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Entered
04/25 09:52:24 [LOGON] do: Avoid send to PDC since user user3 failed recently
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Returns 0xC0000234
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Entered
04/25 09:52:24 [LOGON] do: Avoid send to PDC since user user3 failed recently
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Returns 0xC0000234
04/25 09:52:24 [LOGON] do: SamLogon: Network logon of do\user3 from \\10.67.200.224 Entered
04/25 09:52:24 [LOGON] do: Avoid send to PDC since user user3 failed recently

Erläuterung:

user1 - alter Kollege - nicht mehr im Unternehmen

user2 - bin ich

user3 - Kollegin ( ist nicht in der IT Abteilung )

IP 10.67.200.224 ( Gateway / Router ) über den wir die ganze Zeit sprechen

do = Domain ( Hauptdomäne )

Der eigentliche Fehler muß weiter vorne stehen, das hier ist nur das Resultat...

# for hex 0xc0000234 / decimal -1073741260 :
  STATUS_ACCOUNT_LOCKED_OUT                                     ntstatus.h     
# The user account has been automatically locked because too
# many invalid logon attempts or password change attempts
# have been requested.
# 1 matches found for "0xC0000234"

 

[Squire 275]

was für Dienste laufen denn auf dem Gateway ... irgendwie muss man Dir alles aus der Nase ziehen

 

Läuft da ggf. ein Samba mit? Das Windows Zeugs ist doch jetzt schnurz piep egal, nachdem du weißt, dass vom Gateway aus die Accounts gesperrt werden

 

bearbeitet 25. April 2019 von Squire

[smothy 0]

Hallo zusammen,

 

also wie es aussieht hat es wirklich so geklappt wie ich gestern sagte, es waren wohl irgendwelche Verbindungen bzgl NAT noch aktiv welche über den Gateway / Router liefen in Zusammenhang mit masquerade.

Nach dem "kill" Process ( sudo conntrack -D )

 

ging es - kein Konto mehr gesperrt, auch nicht heute morgen und das ging sonst immer innerhalb von paar Sekunden.

somit gehe ich davon aus, dass es daran lag.

[Squire 275]

wie Tesso schon geschrieben hat: NAT macht keine Anmeldungen. ich würd mich mal auf die Suche machen, welche NAT Verbindungen/Endpunkte da reinkamen und sich versuchten zu authentifizieren. Kamen die NAT Verbindungen aus dem Internet oder aus dem internen Netz? 

bearbeitet 26. April 2019 von Squire

[smothy 0]

kamen aus dem internen Netz. das masqerading war wohl falsch konfiguriert.

[Squire 275]

ähm ... dann müssten sich die Konten aber immer noch sperren - wenn die Authentifizierungsanfrage per "NAT" aus dem internen Netz kamen. Jetzt müssten sie ja direkt an die DCs gehen und die Accounts sich sperren ...

 

Das Ganze hört sich komisch an!

[smothy 0]

Imoment funktioniert es ohne Sperrung. Woher das ganze definitiv kam konnte ich bis jetzt so noch nicht ausfindig machen bzw. in den weiteren logs hab ich nichts entdecken können.

 

Wenn jemand weiß wo ich noch nachschauen könnte oder welches ( ggf. ) Tool ich nutzen könnte um mehr oder genauere Informationen zu erhalten, wäre ich dankbar.

[tesso 377]

Du musst/solltest wissen wie deine Umgebung funktioniert.

Wir können nur raten.

NAT hat nicht mit Authentifizierung zu tun. Ergo muß es auf dem Gateway noch etwas anderes geben das eine Authentifizierung macht.

Was das sein kannst musst du selbst herausfinden. Schau dir doch mal die installierten Pakete an und dchaue was die tun. Vielleicht kannst du es so eingrenzen.