wannabee 10 Posted January 15, 2010 Report Share Posted January 15, 2010 Hallo zusammen, habe hier etwas, was ich mir nicht erklären kann. Vielleicht Ihr? Habe mehrere SQL Server. Diese SQL-Server senden mir täglich Berichte - ob Backup gut/schlecht. Der User der hierfür verwendet wird nennt sich: "r-sql-mail". Nun habe ich einen Anruf bekommen dass dieser User gesperrt wurde (automatisch). Also habe ich ihn wieder entsperrt. Ein Tag später, wieder gesperrt. Komischerweise habe ich auch in der Zeit, wo dieser User gesperrt war, meine Benachrichtigungsmails bekommen. Komischerweise ist auf keinem Domaincontroller ein Sperreintrag verzeichnet. Habe nach Source=SAM gesucht (im System-Log). Auch zu den Zeitpunkten, an denen die Backups laufen und somit die Mails verschickt werden, sind keine Sperreinträge vorhanden. Der System Center Operations Manager, der normalerweise über eine Sperrung eines Accounts berichtet, merkt auch nichts. ABER: wenn ich mich mit diesem account r-sql-mail irgendwo (clients) einloggen möchte, dann erhalte ich die Meldung dass mein Account gesperrt wurde. Meine Aufgabe: Ich müsste irgendwo einen Sperreintrag finden, um nachvollziehen zu können welcher Server die Sperrung verursacht. Habt ihr ne Ahnung wo bzw. unter was ich diesen Eintrag finden könnte? ;) Danke und Grüße Quote Link to comment
olc 18 Posted January 15, 2010 Report Share Posted January 15, 2010 Hi, schau Dir einmal das Tool EventCombMT an, damit kannst Du recht komfortabel nach den entsprechenden EventIDs auf den DCs suchen. Damit sollte dann auch eine Eingrenzung auf die Client-Maschine möglich sein, von der aus der Account gesperrt wurde. Und es ist ganz sicher eine Sperrung (also Account Lockout) und keine Deaktivierung? Viele Grüße olc Quote Link to comment
NilsK 2,918 Posted January 15, 2010 Report Share Posted January 15, 2010 Moin, mit EventComb habe ich schlechte Erfahrungen gemacht. Ab einer gewissen Datenmenge geht da oft alles durcheinander. Besser ist Log Parser. Gruß, Nils Quote Link to comment
olc 18 Posted January 15, 2010 Report Share Posted January 15, 2010 Hi Nils, in kleineren Umgebungen funktioniert das Tool zumindest meiner Erfahrung nach recht gut. Aber Du hast in jedem Fall Recht, der LogParser ist da eine ganz andere "Marke". Ich dachte nur, daß das in diesem Fall eher als "overkill" erscheint. ;) Alternativ kann man "quick and dirty" auch das unten genannte Batch-Script nutzen: Aktives Verzeichnis Blog : Grundsätzliche Informationen zum Security Event Logging / Auditing Viele Wege und Rom usw. ;) Viele Grüße olc Quote Link to comment
NilsK 2,918 Posted January 16, 2010 Report Share Posted January 16, 2010 Moin, ich hatte schon beim Versuch, die Eventlogs einer 10-DC-Umgebung auszuwerten, gravierende Fehler im EventComb festgestellt. Da wurden Events plötzlich dem falschen Server zugeordnet oder passten in der Zeit nicht - so Kram, der das Ganze schon ziemlich nutzlos machte. (Nebenbei führte das zu meiner Event-Reporting-Lösung, die ich kürzlich dann endlich auf faq-o-matic.net veröffentlicht habe.) Eigentlich ist EventComb schön, nur habe ich seither kein rechtes Vertrauen mehr dazu ... Gruß, Nils Quote Link to comment
wannabee 10 Posted January 17, 2010 Author Report Share Posted January 17, 2010 hallo zusammen, vielen Dank für die vorschläge. da wir auch mehrere DCs und an die 7000 Clients in der Domäne haben, werde ich wohl zu dem tool für größere umgebungen gehen. Und es ist ganz sicher eine Sperrung (also Account Lockout) und keine Deaktivierung? ****e frage. gibt es denn eine automatische deaktivierung? nebenbei: der account läuft nicht aus und dessen passwort auch nicht Quote Link to comment
XP-Fan 216 Posted January 17, 2010 Report Share Posted January 17, 2010 Hi, was hast du denn in der Default Domain Policy definiert bezgl Kennwörter und Kennwortrichtlinien ? Quote Link to comment
olc 18 Posted January 17, 2010 Report Share Posted January 17, 2010 Hi, da wir auch mehrere DCs und an die 7000 Clients in der Domäne haben, werde ich wohl zu dem tool für größere umgebungen gehen. Wie viele DCs habt Ihr denn genau? Denn auf den DC würden Kontensperrungen geloggt werden. Bedenke dabei, daß der LogParser etwas Einarbeitungsaufwand benötigt. Zusätzlich bieten natürlich größere Lösungen komfortablere Wege, so etwa SCOM mit den Audit Collection Services. gibt es denn eine automatische deaktivierung? nebenbei: der account läuft nicht aus und dessen passwort auch nicht "Automatische Deaktivierung" ist relativ. Ich persönlich sehe sehr oft Scripte, die das übernehmen. Oftmals weiß die eine Hand nicht, was die andere tut... was hast du denn in der Default Domain Policy definiert bezgl Kennwörter und Kennwortrichtlinien ? Guter Einwurf, wenn es 5 ungültige Anmeldeversuche bis zur Sperrung sind, können wir eigentlich an dieser Stelle hier aufhören. :D Viele Grüße olc Quote Link to comment
NilsK 2,918 Posted January 18, 2010 Report Share Posted January 18, 2010 Moin, übrigens gibt die neue Version 3.0 von José (gerade in Beta 1) nun auch die Konten- und Kennwortrichtlinien der Domäne aus. Wenn man dann noch bei den Usern die Kontenattribute anzeigen lässt, sollte man die Umstände schon ziemlich klar haben. Was dann noch bleibt, ist das Recherchieren der tatsächlichen Sperrung. (Übrigens wird es sich um eine Sperrung handeln, nicht um eine Deaktivierung; das ist ein Unterschied.) .: www.kaczenski.de :. José 3.0: Öffentliche Betaphase Gruß, Nils Quote Link to comment
wannabee 10 Posted January 18, 2010 Author Report Share Posted January 18, 2010 Hi, was hast du denn in der Default Domain Policy definiert bezgl Kennwörter und Kennwortrichtlinien ? 8x falsches Passwort entspricht einer Sperrung Wie viele DCs habt Ihr denn genau? 5 DCs haben wir Ich werde mich jetzt mal an die Auswertung machen. Danke schon mal Quote Link to comment
olc 18 Posted January 18, 2010 Report Share Posted January 18, 2010 Hi, nur noch als Zusatz: Für HOCHsicherheitsumgebungen empfiehlt Microsoft mindestens 10 Anmeldeversuche. Im Normalfall 20 - 50, je nachdem, ob ein Monitoring erfolgt oder nicht. Bei 5 DCs kannst Du wie angesprochen neben dem LogParser problemlos auch die PowerShell, die im Blog genannte Batch-Variante oder den EventCombMT nutzen (sofern dieser bei Dir keine Probleme verursacht, wie von Nils beschrieben). Wie angesprochen solltest Du explizit prüfen, ob die Konten gesperrt oder deaktiviert sind. Viele Grüße olc Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.