Windows AD Benutzerkonto wird immer wieder gesperrt

Das Konto wurde immer wieder gesperrt. Nach dem entsperren in der ADCU Console, vergingen ein paar Minuten, und es wurde erneut gesperrt.

Aus Erfahrung gibt es dafür zwei Ursachen:

  1. Benutzer hat Kennwort kürzlich geändert, aber dies noch nicht auf allen Geräten (z.b. MobilePhones) angepasst. Diese Geräte versuchen nun, mit dem alten Kennwort auf das Konto zuzugreifen.
  2. Irgendjemand versucht, auf das Konto zuzugreifen, und probiert verschiedene Passwörter aus (Brute-Force-Attack).

Ersteres konnte ich mit dem Benutzer ausschliessen, da er das Kennwort schon lange (…) nicht mehr geändert hatte. Warum auch ;).

Letzteres wäre schon blöder…

Als erstes habe ich in auf dem AD DC einer elevated CMD mit folgendem Befehl das logging für Netlogon aktiviert:

nltest /DBFlag:2080FFFF

Nun muss der Netlogon-Service neu gestartet werden:

net stop netlogon && net start netlogon

Nun wird ein Protokoll erstellt:

%windir%\debug\netlogon.log

Darin wurden mit die Anmeldeversuche mit dem betroffenen Konto angezeigt:

04/04 10:56:16 [LOGON] DOMAIN: SamLogon: Transitive Network logon of (null)\USERNAME from FreeRDP (via SERVERNAME) Entered

04/04 10:56:16 [LOGON] DOMAIN: SamLogon: Transitive Network logon of (null)\USERNAME from FreeRDP (via SERVERNAME) Returns 0xC0000234

Natürlich wurden bei DOMAIN, USERNAME und SERVERNAME entsprechende Informationen protokolliert.

Mit diesen Informationen konnte ich feststellen, dass auf der Firewall eine direkte RPD-Verbindung auf den angegebenen SERVERNAME freigegeben war. Dies ist natürlich nicht gut, weshalb ich diese Regel gleich deaktiviert habe. Anschliessend wurden auf der Firewall noch ein paar Minuten lange die Verbindungsversuche protokolliert. Der Benutzeraccount wurde nicht mehr gesperrt.

Um das Logging wieder zu deaktivieren, müssen folgende Befehle ausgeführt werden:

Nltest /DBFlag:0x0

net stop netlogon && net start netlogon

Die Infos zu diesem Beitrag erhielt ich aus diesem KB.

Advertisements

Autor: Martin Wildi

Ich arbeite bei IN4OUT AG (www.in4out.ch), als System Engineer. Beim täglichen First- und Second-Level Support erfahre und erarbeite ich einiges :).

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s