Guten Morgen Zusammen,
Ich habe hier ein "Lustiges" Problem, was ich bisher auch noch nie hatte und komme leider nicht mehr weiter, entsprechend hoffe ich, dass vllt einer von euch eine Idee hat :)
Wir haben hier 3 AD-Server, einer virtuell und 2 physisch. Alle W2012R2...
Aus gegebenen Anlass, haben wir das Administrator Passwort geändert.
Da hier leider nichts dokumentiert ist, war von Anfang an klar, dass wir vorab nicht alle Logins gefunden haben, bei denen die alten Admin Logins benutzt wurden...
Nun konnten wir es schon recht gut einschränken und anstatt ~150 Anmeldungen die Minute, auf 2 versuchte Anmeldungen reduzieren.
Problem was wir haben, es wird einfach nichts im Log angezeigt. Wenn sich ein Client Fehlerhaft anmeldet, sehe ich auf dem AD Log und Sicherheit, den Client Namen und die IP Adresse. Für den Administrator sehe ich es einfach nicht...
Folgende Einstellungen haben wir Domain weit, vorläufig, aktiviert:
Richtlinie
Einstellung
Anmeldeereignisse überwachen
Erfolgreich, Gescheitert
Anmeldeversuche überwachen
Erfolgreich, Gescheitert
Kontenverwaltung überwachen
Erfolgreich, Gescheitert
Objektzugriffsversuche überwachen
Fehler
Prozessverfolgung überwachen
Fehler
Rechteverwendung überwachen
Fehler
Richtlinienänderungen überwachen
Fehler
Systemereignisse überwachen
Fehler
Verzeichnisdienstzugriff überwachen
Fehler
Sehr komisch, der Administrator account ist gesperrt, aber ein Einloggen (mit dem neuen Passwort), unter anderem auf einem der AD Server, ist immer noch möglich? Wie kann das sein? Hatte ich bisher auch noch nicht...
Jemand vllt noch eine Idee wo wir schauen können bzw. was wir Einstellen müssen um vllt doch noch die IP des Verursachers sehen zu können? Wir sind schon alle Dienste, Tasks und nicht geschlossene Sitzungen durch gegangen. LDAP Verbindungen werden auch gerade noch mal überprüft, aber irgendwo scheint es sich tief versteckt zu haben...
Vorab schon mal, vielen Dank fürs lesen :)
VG
Tappi