Zum Inhalt wechseln


Foto

Gesperrte Benutzer Konten


  • Bitte melde dich an um zu Antworten
20 Antworten in diesem Thema

#16 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 30. März 2010 - 21:40

Hi,

OWA Anmeldungen sperren keine Konten, da es sich um einen nicht umfassten Anmeldetyp für Kontensperrungen handelt.


Echt? Wäre mir neu. Anmeldungen über OWA zählen den Errorcounter sogar zweimal statt einmal nach oben.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#17 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 31. März 2010 - 08:41

Hi Norbert,

oh je - stimmt. Ich habe das mit dem lastLogon / der lastLogonTimestamp verwechselt. Danke für den Hinweis.

Die anderen Fragen sind trotzdem noch aktuell. ;)

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#18 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 31. März 2010 - 08:44

Off-Topic:
Ich muß doch auch mal Recht haben. Aber AGDLP find ich trotzdem doof. ;)


Bye
Norbert

Make something i***-proof and they will build a better i***.


#19 OliverZ

OliverZ

    Newbie

  • 42 Beiträge

 

Geschrieben 31. März 2010 - 09:13

Hi,

ok, obwohl Du wieder nicht konkret beantwortet hast, was ich gefragt habe, kann man anhand der Events nun zumindest sehen, daß es sich um ein Network Logon über NTLM handelt.

Noch einmal die Frage ob Du das Webinterface von OWA nutzt oder Dich etwa per Popup authentifizierst. Ich vermute letzteres.

Wie oft treten die Logon Versuche bei einem konkret betroffenen Benutzer auf, zu welcher Tageszeit und wie viele Logon Versuche werden (nach der Sperrung) unternommen?

Viele Grüße
olc


Tut mir leid, ich habe deine Frage anscheinend missverstanden.

Wir verwenden kein HTTP AUTH sondern das HTML Formular zur Anmeldung an OWA.

Ansonsten muss ich sagen, wir haben die Fälle jetzt abgeklärt und es liegen keine fremden Verursacher vor.

Bei drei Usern die gesagt haben, sie hätten das PWD nicht falsch eingegeben, kamen die Sperrungen von deren eigenen Computern. Die falschen Anmeldeversuche bis zur Sperrung werde ich nach deinem Rat auf 10 hochsetzen.

Bezüglich der Sperrungen vom OWA Frontend Server.
Wenn man sich mit falschen Daten anmeldet, wird man zu
https://mailserver/exchweb/bin/auth/owalogon.asp?url=https://mailserver/exchange&reason=2
redirected. Also habe ich mit Agent Ransack alle IIS Logs nach diesem String durchsuchen lassen und habe alle IP Adressen die ich einem solchen Aufruf zuordnen konnte überprüft. Es waren Ausnahmslos alle IPs von Firmenmitarbeitern.

Wie auch immer, anscheinend habe ich ein Phantom gejagt, weil jeder Mitarbeiter sagte, er/sie wisse von nichts und habe nichts gemacht...

Danke für die Hilfe!

#20 s_sonnen

s_sonnen

    Board Veteran

  • 751 Beiträge

 

Geschrieben 31. März 2010 - 09:23

Hi Oliver.

Auf jeden Fall besser als ein "richtiges" Problem.
... und wieder mal ein Hinweis darauf nix zu glauben was man nicht selbst gesehen hat ... :D.

ciao und einen angenehmen Resttag
M.
Ein Buch macht kluch - zwei Bücher schon mal klücher.

#21 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 31. März 2010 - 17:35

Hi,

genau aus diesen "Phantom-Gründen" machen Einstellungen unterhalb der 10 Anmeldeversuche bis zur Sperrung meines Erachtens keinen Sinn. Besser sind sogar 20-50 ungültige Anmeldeversuche - je nachdem, ob ein zeitnahes / real-time Monitoring der Anmeldeversuche erfolgt oder nicht.

Danke für Deine Rückmeldung und Gruß
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)