TSchaefer1976 11 Geschrieben 19. Mai 2010 Melden Teilen Geschrieben 19. Mai 2010 Hallo ! Weiss jemand welche Richtlinie für diese Aktion zuständig ist: Zugriff auf eine Netzwerkfreigabe die auf einem Win2K8R2 liegt. Zugriff erfolgt von einem XP Rechner der nicht in der Domäne ist. Zugriff erfolgt durch Eingabe von benutzername@domäne.bla Sobald dies geschieht, ist das Konto "benutzername@domäne.bla" gesperrt. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. Mai 2010 Melden Teilen Geschrieben 19. Mai 2010 Hat der Rechner Credentials gespeichert, die nicht mehr stimmen (falsches Kennwort) ? Schau mal mit CONTROL USERPASSWORDS2 auf dem Nicht-Member, ob da was gespeichert wird. AD-Benutzer werden nicht einfach so gesperrt ... Zitieren Link zu diesem Kommentar
TSchaefer1976 11 Geschrieben 19. Mai 2010 Autor Melden Teilen Geschrieben 19. Mai 2010 Nein dort ist nichts gespeichert, es handelt sich bei dem Nicht-Mitgliedsrechner um einen neu aufgesetzten. Auf dem Rechner gibt es einen Benutzer mit dem selben Namen. Somit einen lokalen Benutzer als auch einen Benutzer in der Domäne. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. Mai 2010 Melden Teilen Geschrieben 19. Mai 2010 Sind die Kennwörter in der Domäne und auf dem Client gleich (der benutzername ist ja der gleiche) ? Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 19. Mai 2010 Melden Teilen Geschrieben 19. Mai 2010 Firewall SERVER ? Firewall Client ? Verbindung zwischen Server und Client Inner Lan oder WAN? Vielleicht auch Überwachung und Eindringungserkennung! Zitieren Link zu diesem Kommentar
TSchaefer1976 11 Geschrieben 19. Mai 2010 Autor Melden Teilen Geschrieben 19. Mai 2010 Also es funktioniert in dem Fall das der lokale Benutzer einen anderen Namen hat wie das Benutzerkonto das zur Anmeldung an der Freigabe benutzt wird. Jedoch sobald der Benutzer lokal am Rechner, der in einer Arbeitsgruppe ist und nicht in der Domäne angemeldet ist, sich auf die Netzwerkfreigabe verbindet, wird er zur Eingabe des Benutzernamens+Kennwort aufgefordert. Bei der Eingabe in der Form von name@domain.bla wird sofort das Konto am DC komplett gesperrt und es ist keine Anmeldung an der Domäne mehr möglich. Bei der Nutzung eines lokalen Kontos dessen Name nicht gleichlautend mit dem Domänenkonto ist, z.b. name2 und danach erfolgten Zugriff auf die Netzwerkfreigabe wird ebenfalls Benutzername und Kennwort angefordert, nach der Eingabe in exakter Schreibweise wie im 1. Fall, also name@domain.bla ist der Zugriff auf die Freigabe möglich und das Konto wird auch nicht gesperrt. Firewall auf keiner Seite. Lan. Kein IDS System sondern nur ein Win2k8R2 und soweit ich weiss keine besonderen Anpassungen. Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 19. Mai 2010 Melden Teilen Geschrieben 19. Mai 2010 Also es funktioniert in dem Fall das der lokale Benutzer einen anderen Namen hat wie das Benutzerkonto das zur Anmeldung an der Freigabe benutzt wird. Jedoch sobald der Benutzer lokal am Rechner, der in einer Arbeitsgruppe ist und nicht in der Domäne angemeldet ist, sich auf die Netzwerkfreigabe verbindet, wird er zur Eingabe des Benutzernamens+Kennwort aufgefordert. Bei der Eingabe in der Form von name@domain.bla wird sofort das Konto am DC komplett gesperrt und es ist keine Anmeldung an der Domäne mehr möglich. Bei der Nutzung eines lokalen Kontos dessen Name nicht gleichlautend mit dem Domänenkonto ist, z.b. name2 und danach erfolgten Zugriff auf die Netzwerkfreigabe wird ebenfalls Benutzername und Kennwort angefordert, nach der Eingabe in exakter Schreibweise wie im 1. Fall, also name@domain.bla ist der Zugriff auf die Freigabe möglich und das Konto wird auch nicht gesperrt. Firewall auf keiner Seite. Lan. Kein IDS System sondern nur ein Win2k8R2 und soweit ich weiss keine besonderen Anpassungen. Du musst bedenken das du mit Fully Qualified Domain Name (FQDN) an die Domäne heran Tritts solte es eigendlich funktionieren. das heißt, man kann bem Netzlaufwerk verbinden sagen via anderem Benutzerkonto verbinden sagen! also vorname.nachname in arbeitsgruppe der wäre dabei egal an vorname.nachname@domäne.local an Domäne funktioniert. Via Kerberos vorname.nachname in Arbeitsgruppe vorname.nachname in Domäne via NTLM (NT LAN Manager) gleiches Kennwort vorausgesetzt und lokaer Benutzer auf Server in Domäne! Kennwörter müssen übereinstimmen Überwachung und Eindringungserkennung ist ein System das seit Windows 2000 Domänencontrollern etabliert ist! Zitieren Link zu diesem Kommentar
TSchaefer1976 11 Geschrieben 19. Mai 2010 Autor Melden Teilen Geschrieben 19. Mai 2010 Überwachung und Eindringungserkennung ist ein System das seit Windows 2000 Domänencontrollern etabliert ist! In welcher Art und Weise ? Wenn ich von einem IDS rede, denke ich eher an eine Drittherstellersoftware. Das würde mich jetzt doch näher interessieren, was genau du darunter verstehst ? Zitieren Link zu diesem Kommentar
TSchaefer1976 11 Geschrieben 19. Mai 2010 Autor Melden Teilen Geschrieben 19. Mai 2010 Du musst bedenken das du mit Fully Qualified Domain Name (FQDN) an die Domäne heran Tritts solte es eigendlich funktionieren. das heißt, man kann bem Netzlaufwerk verbinden sagen via anderem Benutzerkonto verbinden sagen! also vorname.nachname in arbeitsgruppe an vorname.nachname@domäne.local an Domäne funktioniert. Via Kerberos vorname.nachname in Arbeitsgruppe vorname.nachname in Domäne via NTLM (NT LAN Manager) gleiches Kennwort vorausgesetzt und lokaer Benutzer auf Server in Domäne! Kennwörter müssen übereinstimmen Überwachung und Eindringungserkennung ist ein System das seit Windows 2000 Domänencontrollern etabliert ist! Ich seh darin aber keine Info oder Lösungsansatz. Oder ich bin blind. Wieso sperrt der Server das Konto ? Wir haben im allgemeinen keine Kontosperrrichtlinie, sprich ich kann mich x-mal mit falschem Passwort versuchen, an der Domäne interaktiv abzumelden. Keine Sperrung erfolgt. Sobald ich aber genannte Konstellation habe, sprich lokaler Benutzername ist der selbe wie der Name des Domänenbenutzerkontos, wird das Konto komplett gesperrt. Zitieren Link zu diesem Kommentar
TSchaefer1976 11 Geschrieben 20. Mai 2010 Autor Melden Teilen Geschrieben 20. Mai 2010 Hier noch einige Ereignisprotokollausschnitte dazu: Das Sicherheitssystem hat einen versuchten Herunterstufungsangriff für den Server cifs/Ws-abc festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Das Benutzerkonto wurde automatisch gesperrt, da zu viele ungültige Anmeldeversuche oder zu viele ungültige Anforderungen zur Kennwortänderung durchgeführt wurden. (0xc0000234)". Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp. Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server cifs/Ws-abc herstellen. Es war kein Authentifizierungsprotokoll verfügbar. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server cifs/SERVER herstellen. Es war kein Authentifizierungsprotokoll verfügbar. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Ereignistyp: Warnung Ereignisquelle: LSASRV Ereigniskategorie: SPNEGO (Vermittlung) Ereigniskennung: 40960 Datum: 12.05.2010 Zeit: 15:27:24 Benutzer: Nicht zutreffend Computer: WS-SC Beschreibung: Das Sicherheitssystem hat einen versuchten Herunterstufungsangriff für den Server cifs/SERVER festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Das Benutzerkonto wurde automatisch gesperrt, da zu viele ungültige Anmeldeversuche oder zu viele ungültige Anforderungen zur Kennwortänderung durchgeführt wurden. (0xc0000234)". Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.