Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Benutzer ständig gesperrt - kein 4740 Event am DC

Mitglied: sventastic

sventastic (Level 1) - Jetzt verbinden

14.02.2018 um 09:26 Uhr, 401 Aufrufe, 8 Kommentare

Hi,
ich habe seit ein paar Tage das Problem, dass das Konto eines Kollegen immer wieder gesperrt wird.
Mal geht es 40Min gut, dann wird er innerhalb von 5Min erneut gesperrt.
Das letzte 4740-Event für diesen User war letzten Freitag auf unserm lokalen DC von seinem Notebook aus, alle anderen Sperrungen sind nicht aufzufinden.
Angeblich wird er auch gesperrt wenn das Notebook ausgeschaltet ist.
Er hat ein Mobiltelefon (iPhone) und iPad auf dem sich ein Mail-Client mit unserem Exchange verbindet. Der Sync der Mails findet allerdings manuell statt und das iPad ist ausgeschaltet.
Sperrungen durch RDP-Sessions erscheinen für alle anderen Nutzer in den entsprechenden Security-Events.

Gibt es ein Tool mit dem man den Benutzer über das AD von allem abmelden kann?
Oder zumindest sehen kann wo sich der Benutzer versucht anzumelden?

Danke im Voraus

Mitglied: DerWoWusste
LÖSUNG 14.02.2018 um 09:42 Uhr
Hi.

Hast Du mehrere DCs? Prüfe auf allen nach, ob die Sperrung geloggt wird - es kann nicht angehen, dass sie nicht geloggt wird. teste es aus, indem Du für das Konto mehrfach auf deinem eigenen PC ein falsches Kennwort eingibst (oder für ein Testkonto).
In dem Logeintrag steht die IP, wo die Fehleingabe stattfand - das ist der Anhaltspunkt, den du brauchst.
Bitte warten ..
Mitglied: goscho
LÖSUNG 14.02.2018, aktualisiert um 10:12 Uhr
Moin sven,

häufig passiert das dann, wenn die Kombi aus Benutzer + PW für einen Dienst auf einem Client oder Server oder eine Software zur Anmeldung an Freigaben genutzt wird.
Nach einem Passwortwechsel wurde vergessen, das neue Passwort dem Dienst oder der Anmeldung in der Software mitzugeben.
Bitte warten ..
Mitglied: Penny.Cilin
LÖSUNG 14.02.2018 um 10:34 Uhr
Moin Sven,

um dem Beitrag von @goscho noch hinzuzufügen, unter Umständen kann es auch eine eine vergessene RDP Sitzung sein.
Das heißt eine RDP Sitzung wurde nicht abgemeldet, sondern nur getrennt.
Wenn dann ein Passwortwechsel stattfindet, hält die getrennte RDP-Sitzung immer noch das alte Passwort.

Gruss Penny
Bitte warten ..
Mitglied: sventastic
14.02.2018 um 12:35 Uhr
Hi,

erstmal Danke für die Antworten.

wir haben 5 DCs in dieser Domäne.

DC1 - Security Events völlig veraltet
DC2 - keine 4740-Events. Meldet Sperrungen allerdings als Caller an den DC4
DC3 - Event Viewer Service läuft nicht und lässt sich auch nicht starten (Access denied)
DC4 - keine 4740-Events für den betroffenen User. Sperrungen der DCs 2 und 6 als Caller sichtbar.
DC6 - unser lokaler DC. 4740 Events für Kollegen hier im Office. Betroffener User bisher allerdings nur 2x aufgeführt.

Ich habe mich zum test gesperrt und das war auf dem DC6 mit Angabe der Workstation wie auch auf dem DC4 mit Angabe DC6 zu sehen.
Die Sperrungen des betroffenen User auf dem DC6 wurden aber scheinbar nicht an den DC4 übermittelt.

Warum auf dem DC3 gar keine Events geloggt werden ist gerade in Klärung. Auch warum die Security-Events auf dem DC1 völlig veraltet sind.

Nach Rücksprache mit dem User wurden angeblich sämtliche RDP-Sessions durch abmelden beendet und auch Browserzugriffe innerhalb der Sessions auf interne Server der Domäne. Auch sollen weder Task noch Services mit den Credentials laufen.
Bitte warten ..
Mitglied: Penny.Cilin
LÖSUNG 14.02.2018 um 12:43 Uhr
Hallo,

nur weil der betroffene Benutzer dies behauptet, muss es nicht stimmen. Wir hatten dieses Phänomen auch des öfteren, da hat dann der betroffene Anwender eine RDP Session vergessen. Die hatte er überhaupt nicht mehr auf dem Schirm / bzw. konnte sich nicht daran erinnern.

Einer unsrer Admins hat dann ein Skript geschrieben, mit welchem man abfragen konnte, ob das angegebene Benutzerkonto noch irgendwo angemeldet war.

Gruss Penny
Bitte warten ..
Mitglied: sventastic
14.02.2018 um 14:41 Uhr
Hi,

es war tatsächlich eine RDP-Verbindung die niemand mehr auf dem Schirm hatte.
Es wundert mich allerdings trotzdem, dass es in dem Fall dann nicht entsprechend (wie bei allen Anderen) geloggt wurde.

Das herauszufinden wird dann wohl der nächste Task.
Dennoch einen Dank an euch für den Support.

Frohes Schaffen weiterhin
Bitte warten ..
Mitglied: Penny.Cilin
14.02.2018 um 14:49 Uhr
Hallo,

für solche Fälle lohnt es sich ein Qwinsta oder Query Session auf allen Servern.
RDP-Session verwalten mittels qwinsta und rwinsta

Möglicherweise heißt das nun unter Windows 2012 anders.

Gruss Penny
Bitte warten ..
Mitglied: clSchak
15.02.2018 um 11:00 Uhr
Zitat von sventastic:

Hi,

erstmal Danke für die Antworten.

wir haben 5 DCs in dieser Domäne.

DC1 - Security Events völlig veraltet
DC2 - keine 4740-Events. Meldet Sperrungen allerdings als Caller an den DC4
DC3 - Event Viewer Service läuft nicht und lässt sich auch nicht starten (Access denied)
DC4 - keine 4740-Events für den betroffenen User. Sperrungen der DCs 2 und 6 als Caller sichtbar.
DC6 - unser lokaler DC. 4740 Events für Kollegen hier im Office. Betroffener User bisher allerdings nur 2x aufgeführt.

Ich habe mich zum test gesperrt und das war auf dem DC6 mit Angabe der Workstation wie auch auf dem DC4 mit Angabe DC6 zu sehen.
Die Sperrungen des betroffenen User auf dem DC6 wurden aber scheinbar nicht an den DC4 übermittelt.

Warum auf dem DC3 gar keine Events geloggt werden ist gerade in Klärung. Auch warum die Security-Events auf dem DC1 völlig veraltet sind.

Nach Rücksprache mit dem User wurden angeblich sämtliche RDP-Sessions durch abmelden beendet und auch Browserzugriffe innerhalb der Sessions auf interne Server der Domäne. Auch sollen weder Task noch Services mit den Credentials laufen.


Ich würde dann aber auch mal die zwei DCs mit Fehlern (DC1 und DC3) vornehmen, dass sieht nach weiteren Problemen aus.

Gruß
@clSchak
Bitte warten ..
Ähnliche Inhalte
Windows Server

AD Account wird ständig gesperrt Event 4625 BruteForce

gelöst Frage von westberlinerWindows Server5 Kommentare

Hallo Zusammen, ich habe seit einigen Tagen ein seltsames Problem: Bei uns hat ein User angefangen, welchen es schonmal ...

Windows Server

Ereignis 4776 User wird ständig vom DC gesperrt

Frage von tourguide1504Windows Server10 Kommentare

Nach der Entsperrung kann er wieder arbeiten um dann zu einem späterem Zeitpunkt während des Arbeiten wieder gesperrt zu ...

Windows Server

FTP-Benutzer wird ständig gesperrt und Benutzername muss Servernamen davor haben

gelöst Frage von Ruffy1984Windows Server7 Kommentare

Hallo Community, ich habe auf einem Windows Server 2008 R2 englisch die IIS/FTP Rolle (iis Version 7.5.7600 ) installiert ...

Windows Server

DC (server2008R2) gibt keine EventID 4740 bei Kontosperrung raus.

gelöst Frage von LordNicon79Windows Server2 Kommentare

Hi, ich suche schon was länger nach einer Lösung mit live eien Mail zuschicken zu lassen, wenn in einer ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 1 TagBackup1 Kommentar

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 3 TagenHumor (lol)7 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 3 TagenExchange Server9 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 4 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
E-Mail
Deutsche e-Mail Adresse auf iPhone in Katar. Nur Probleme
gelöst Frage von vanTastE-Mail25 Kommentare

Moin, ich habe hier in Deutschland auf einem Exchange 2013 eine e-Mail Adresse (name@domain.de) für einen Kollegen in Katar ...

Windows Server
Domäne beitreten nicht möglich, unter VMWare windows Server 2016 Core
Frage von AmanuelWindows Server11 Kommentare

Ich habe auf meinem Mac unter VMWare Windows Server 2016 Core und Windows Server 2016 Desktopversion installiert. Beide Systeme ...

RedHat, CentOS, Fedora
OTRS 5 kann keine Mails mehr abrufen
gelöst Frage von opc123RedHat, CentOS, Fedora11 Kommentare

Hallo, OTRS kann keine Mails mehr abrufen. Verschicken ja. Dadurch kommen keine Tickets mehr rein. Gibt es Anlaufpunkte was ...

Windows Server
Server 2016 Autotiering Storage Space
Frage von HenereWindows Server11 Kommentare

Servus, ich habe jetzt ein StorageSpace auf einem Server 2016 in Betrieb zum Testen. 1x M2 mit 512GB (970pro) ...