NorbertFe 2.282 Geschrieben 30. März 2010 Melden Geschrieben 30. März 2010 Hi, OWA Anmeldungen sperren keine Konten, da es sich um einen nicht umfassten Anmeldetyp für Kontensperrungen handelt. Echt? Wäre mir neu. Anmeldungen über OWA zählen den Errorcounter sogar zweimal statt einmal nach oben. Bye Norbert
olc 18 Geschrieben 31. März 2010 Melden Geschrieben 31. März 2010 Hi Norbert, oh je - stimmt. Ich habe das mit dem lastLogon / der lastLogonTimestamp verwechselt. Danke für den Hinweis. Die anderen Fragen sind trotzdem noch aktuell. ;) Viele Grüße olc
NorbertFe 2.282 Geschrieben 31. März 2010 Melden Geschrieben 31. März 2010 Off-Topic:Ich muß doch auch mal Recht haben. Aber AGDLP find ich trotzdem doof. ;) ByeNorbert
OliverZ 10 Geschrieben 31. März 2010 Autor Melden Geschrieben 31. März 2010 Hi, ok, obwohl Du wieder nicht konkret beantwortet hast, was ich gefragt habe, kann man anhand der Events nun zumindest sehen, daß es sich um ein Network Logon über NTLM handelt. Noch einmal die Frage ob Du das Webinterface von OWA nutzt oder Dich etwa per Popup authentifizierst. Ich vermute letzteres. Wie oft treten die Logon Versuche bei einem konkret betroffenen Benutzer auf, zu welcher Tageszeit und wie viele Logon Versuche werden (nach der Sperrung) unternommen? Viele Grüße olc Tut mir leid, ich habe deine Frage anscheinend missverstanden. Wir verwenden kein HTTP AUTH sondern das HTML Formular zur Anmeldung an OWA. Ansonsten muss ich sagen, wir haben die Fälle jetzt abgeklärt und es liegen keine fremden Verursacher vor. Bei drei Usern die gesagt haben, sie hätten das PWD nicht falsch eingegeben, kamen die Sperrungen von deren eigenen Computern. Die falschen Anmeldeversuche bis zur Sperrung werde ich nach deinem Rat auf 10 hochsetzen. Bezüglich der Sperrungen vom OWA Frontend Server. Wenn man sich mit falschen Daten anmeldet, wird man zu https://mailserver/exchweb/bin/auth/owalogon.asp?url=https://mailserver/exchange&reason=2 redirected. Also habe ich mit Agent Ransack alle IIS Logs nach diesem String durchsuchen lassen und habe alle IP Adressen die ich einem solchen Aufruf zuordnen konnte überprüft. Es waren Ausnahmslos alle IPs von Firmenmitarbeitern. Wie auch immer, anscheinend habe ich ein Phantom gejagt, weil jeder Mitarbeiter sagte, er/sie wisse von nichts und habe nichts gemacht... Danke für die Hilfe!
s_sonnen 20 Geschrieben 31. März 2010 Melden Geschrieben 31. März 2010 Hi Oliver. Auf jeden Fall besser als ein "richtiges" Problem. ... und wieder mal ein Hinweis darauf nix zu glauben was man nicht selbst gesehen hat ... :D. ciao und einen angenehmen Resttag M.
olc 18 Geschrieben 31. März 2010 Melden Geschrieben 31. März 2010 Hi, genau aus diesen "Phantom-Gründen" machen Einstellungen unterhalb der 10 Anmeldeversuche bis zur Sperrung meines Erachtens keinen Sinn. Besser sind sogar 20-50 ungültige Anmeldeversuche - je nachdem, ob ein zeitnahes / real-time Monitoring der Anmeldeversuche erfolgt oder nicht. Danke für Deine Rückmeldung und Gruß olc
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden