juergen77 10 Geschrieben 14. Mai 2009 Melden Teilen Geschrieben 14. Mai 2009 Hallo! Ich habe ein Problem an dem ich nicht weiterkomme. Wir haben folgendes Scenario: 2 Domänen, ich nenne Sie mal Dom1 und Dom2. Dom1 und Dom2 sind eigene Strukturen und über eine unidirektionale Vertrauensstellung miteinander Verbunden. Dom 2 vertraut Dom1 aber nicht umgekehrt. Dom1 hat die Domänenfunktionsebene Windows2003 und Dom2 die Funktionsebene Windows2000 pur. Auf Dom1 obligen uns einige Einschrängen durch den Konzernverbund, daher eine zweite Domäne (Dom2) in welcher wir unser eigenes Süppchen kochen. Um uns doppelte Benutzerkontenpflege zu ersparen melden wir und mit den Benutzerkonten aus Dom1 an Computern der Dom2 (meist Terminalserver, aber auch XPs) an. Das klappt soweit erstmal. Das Problem ist nur, daß bei jeder Anmeldung ( und wohl auch Abmeldung) der Passwortfehlversuchszähler des jeweiligen Benutzerkontos in Dom1 um 1 erhöht wird und so in aller Regelmäßigkeit zu Sperrungen führt. Das Verhalten habe ich mit dem Tool LockOutStatus aus dem Resource- oder Admin-Kit beobachtet. Falsch ist das Kennwort aber definitiv nicht, die Anmeldung geht durch und der Benutzer kann ohne Problem auf sein Benutzerverzeichnis und andere Verzeichnisfreigabe in Dom1 zugreifen. Die Sperrung passiert (gefühlsmäßig) auch nach ca. 8 Stunden Arbeitszeit und aktiver Verbindung/Sitzung. Auf den DC's der Dom1 finde ich vom Anmeldevorgang des Benutzer auch Einträge im Event: -------------------------------------------------------------------------- Ereignistyp: Fehlerüberw. Ereignisquelle: Security Ereigniskategorie: (9) Ereigniskennung: 680 Datum: 14.05.2009 Zeit: 16:49:16 Benutzer: NT-AUTORITÄT\SYSTEM Computer: FS00561F Beschreibung: Die Beschreibung der Ereigniskennung ( 680 ) in ( Security ) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Möglicherweise müssen Sie das Flag /AUXSOURCE= zum Ermitteln der Beschreibung verwenden. Weitere Informationen stehen in Hilfe und Support. Ereignisinformationen: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0; YC1PE9S; FBD02HKJ; 0xC000006A. ---------------------------------------------------- Habt jemand von Euch evtl. einen guten Tipp? Ich mach schon eine Weile rum und irgendwie finde ich nicht die Lösung meines Problems. Viele Grüße! Jürgen Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. Mai 2009 Melden Teilen Geschrieben 14. Mai 2009 Hi Jürgen, es ist auf den ersten Blick erst einmal anzunehmen, daß irgend eine Applikation zyklisch ein falsches Kennwort sendet. Von daher könntest Du einmal prüfen a) von welchem Client die Kontosperrung ausgelöst wird b) falls es der Client ist, an dem die Benutzer zum Zeitpunkt der Sperrung arbeiten, beispielsweise einmal die Einträge des Credential Managers löschen (control keymgr.dll) oder die eingerichteten Dienste / geplanten Tasks überprüfen. Ansonsten leistet unter XP / 2003 die ALockout.dll oft ganz gute Dienste: Account Lockout Tools Viele Grüße olc Zitieren Link zu diesem Kommentar
juergen77 10 Geschrieben 15. Mai 2009 Autor Melden Teilen Geschrieben 15. Mai 2009 Hi olc, erstmal Danke für Deinen Beitrag. Nun, es sind effektiv 5 Citrix Presentation Server 4.5 unter 2003 betroffen bei Anmeldungen via ICA, RDP und Konsole. Testweise habe ich es an 2 XP-Maschinen probiert, gleiches Problem. Also man könnte sagen, es ist an keiner Maschine festzumachen. Genausowenig an Useraccount. Bin mir 100% sicher, daß keine Dienste unter jenen Benutzerkonten laufen (es sind derweil über 150 Benutzer die aktiv damit arbeiten). Ich vermute mal einen Zusammenhang aus der Konstellation. Der Benuzter ist Mitglied in Dom1 und meldet sich auch gegen die Dom1 an. Die Maschine auf der er dies tut allerdings Member in Dom2. Ich mal in Richtung Sicherheitsrichtlinien der Domämen, GPO's oder irgendein Mechnismus beim Logonprozess vermuten aber keine Ahnung wo. Mit LockOutStatus.exe habe ich gearbeitet und entsprechend festgestellt, daß ein Passwortfehlversuch zum Zeitpunkt der Anmeldung passiert, aber trotzdem Danke für den Link, die anderen Tools muss ich mal schauen, ob ich diese ausprobieren kann und dann wieder posten. Viele Grüße Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 15. Mai 2009 Melden Teilen Geschrieben 15. Mai 2009 Hast du die SID Filterung auf dem Trust noch aktiv? (quantine) Zitieren Link zu diesem Kommentar
juergen77 10 Geschrieben 15. Mai 2009 Autor Melden Teilen Geschrieben 15. Mai 2009 OK jetzt geht's für mich echt ans eingemachte ;-) Ich habe mal versucht über netdom trust ....... /quarantine abzufragen. Wäre das richtig? Habe aber nur ein Zugriff verweigert geerntet. Befürchte weil ich/wir in der einen Domäne zu arg beschnitten sind was die Rechte betrifft. Kann man es über die MMC Domänen und Vertrauensstellungen auch abfragen? In meiner Dom1 stand bei den Eigenschaften zur betreffenden Vertrauenstellung nichts dabei von wegen SID-Filterung, bei meiner Dom2 hingegen, war entsprechende Einstellung gesetzt, bzw. es Stand in der Dialogbox drinnen. Grüße! Ich sag mal schönes Wochenende an dieser Stelle! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.