passt 10 Geschrieben 30. April 2012 Melden Teilen Geschrieben 30. April 2012 Hallo allerseits, ich habe einen User, der mich regelmäßig zu nachtschlafender Zeit weckt, weil sein Konto gesperrt ist. Dies kann ich dann auch bestätigen. Nun versuche ich anhand des Sicherheitsprotokoll am 1st DC die Ursache hierfür zu erkennen. Ich tue mich mit dem Filtern des Logs schwer. Ich würde gerne nur die Resultate sehen, die in der Beschreibung den Benutzernamen enthalten. Kann mir jemand sagen wie den Filter im XPath-Format manuell erstellen kann, damit nach dem Benutzername in der Beschreibung gefragt wird? Gruß, Peter Zitieren Link zu diesem Kommentar
passt 10 Geschrieben 30. April 2012 Autor Melden Teilen Geschrieben 30. April 2012 (bearbeitet) Unabhängig davon, dass ich noch die XPath-Form des Queries suche, habe ich inzwischen festgestellt, dass heute morgen bereits der erste Anmeldeversuch aufgrund von Kontosperrung gescheitert ist: Überwachung gescheitert 30.04.2012 05:49:55 Microsoft-Windows-Security-Auditing 4771 Kerberos-Authentifizierungsdienst "Fehler bei der Kerberos-Vorauthentifizierung. Kontoinformationen: Sicherheits-ID: domäne\benutzername Kontoname: benutzername Dienstinformationen: Dienstname: krbtgt/DOMÄNE Weitere Informationen: Ticketoptionen: 0x40810010 Fehlercode: 0x12 Typ vor der Authentifizierung: 0 Die letzte Meldung davor war eine erfolgreiche Abmeldung. Ich kann mir das nicht erklären was da los ist. Irgendwelche Ideen? Vielleicht muss ich anders suchen. Wird in der Ereignisanzeige angezeigt, wann ein Benutzerkonto deaktiviert wird? Peter bearbeitet 30. April 2012 von passt Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. April 2012 Melden Teilen Geschrieben 30. April 2012 Hi, schau einmal hier hinein: https://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer.aspx?Redirected=true Welche Lockout-Schwelle hast Du bei Dir in Betrieb? Alles unter "10" rechtfertigt vermutlich noch nicht einmal ein Troubleshooting - erst, wenn ein Benutzer trotz 10-50 ungültigen Anmeldeversuchen gesperrt wird, hat es aus meiner Sicht Sinn, das gegenzuprüfen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Alith Anar 38 Geschrieben 30. April 2012 Melden Teilen Geschrieben 30. April 2012 Windows teilt dir nur mit das der Anmeldeversuch fehlgeschlagen ist. Wer/Welches Gerät das ganze probiert hat, wirst du aus den Logfiles nicht mitbekommen. Spontan tippen würde ich ja mal auf eine Passwortänderung des Benutzers, die er auf seinem Mobile Device evtl nicht eingetragen hat. Stellt Ihr OWA oder ähnliches zur Verfügung - dann evtl einen Blick in die Firewall? Laufen unter dem Benutzer irgendwelche Dienste - Dann gucken ob das Passwort im Dienst auch geändert worden ist. Das wären so die ersten Vermutungen die ich anstellen würde. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. April 2012 Melden Teilen Geschrieben 30. April 2012 Hi, Windows teilt dir nur mit das der Anmeldeversuch fehlgeschlagen ist. Wer/Welches Gerät das ganze probiert hat, wirst du aus den Logfiles nicht mitbekommen. Doch, diese Information wird im entsprechenden Event auf dem DC geloggt, auf dem der Anmeldeversuch stattgefunden hat. Zusätzlich wird die Information zum PDCe übertragen, sofern "AvoidPdcOnWan" nicht aktiviert wurde. Auf dem PDCe wird dann jedoch nur der DC geloggt, der ursprünglich den Anmeldeversuch "abgefangen" hat. Diesen DC muß man sich dann also anschauen. Spontan tippen würde ich ja mal auf eine Passwortänderung des Benutzers, die er auf seinem Mobile Device evtl nicht eingetragen hat. Stellt Ihr OWA oder ähnliches zur Verfügung - dann evtl einen Blick in die Firewall? Laufen unter dem Benutzer irgendwelche Dienste - Dann gucken ob das Passwort im Dienst auch geändert worden ist.Das wären so die ersten Vermutungen die ich anstellen würde. Ich persönlich finde "Vermutungen" immer schwierig. ;) Wie angesprochen: Wie hoch ist die Kontensperrungsschwelle? Viele Grüße olc Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 1. Mai 2012 Melden Teilen Geschrieben 1. Mai 2012 Früher als sonst vor Arbeitsbeginn läutete das Telefon, auf dem Display ward meine "Lieblingsbenutzerin" angekündigt, sie könne sich nicht anmelden, dann lerne es doch endlich du dumme Kuh, so war meine innerliche Antwort. Mit Dameware schaltete ich mich auf den Rechner, versuchte mich anzumelden, es funktioniert nicht, was war das denn?. Ich schaute ins AD und aktivierte mein Konto. Sie könne sich trotzdem nicht anmelden, so ihre Rückmeldung, sie wolle ihren alten Rechner wiederhaben. Am Abend vorher hatte ich ihr einen neuen Rechner hingestellt und getestet. Was ist das? Ganz einfach, im Anmeldefenster stand mein und nicht ihr Benutzername. Mit den Anmeldversuchen ward mein Konto gesperrt. Wer war nun der Dämliche? Ich natürlich auch, ich kannte doch die Fähigkeiten der Benutzerin. Warum ist mit das nicht gleich aufgefallen, warum bin ich nicht systemmatisch vorgegangen? Wahrscheinlich, weil die Tante ziemlich nervig war, beratungsresistent. Es war schon öfters vorgekommen, sie hatte die zyklisch verlangte Kennwortänderung nicht durchgeführt oder das neue Kennwort vergessen. Zitieren Link zu diesem Kommentar
passt 10 Geschrieben 2. Mai 2012 Autor Melden Teilen Geschrieben 2. Mai 2012 So, jetzt komme ich dazu mich wieder zu melden. Die Lockoutschwelle habe ich bereits am Montag von 5 auf 10 erhöht. Der niedrige Wert ist eine Vorgabe von unseren Wirtschaftsprüfern, die ich jetzt aufgrund der Praxis erhöht habe. Heute gab es übrigens keinen Anruf! Wie kann ich denn feststellen, welcher DC die Anmeldeversuche des Users entgegen genommen hat? Idealerweise würde ich das gerne mittels XPath-Abfrage ermitteln, ohne dass ich mir einen Zeitraum von einer Woche exportieren und per ASCII-Suche finden muss. Kann hier jemand helfen? Gruß, Peter Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 2. Mai 2012 Melden Teilen Geschrieben 2. Mai 2012 Die Lockoutschwelle habe ich bereits am Montag von 5 auf 10 erhöht. [...] Heute gab es übrigens keinen Anruf! Siehste? ;) Wie kann ich denn feststellen, welcher DC die Anmeldeversuche des Users entgegen genommen hat? Idealerweise würde ich das gerne mittels XPath-Abfrage ermitteln, ohne dass ich mir einen Zeitraum von einer Woche exportieren und per ASCII-Suche finden muss. Kann hier jemand helfen? Einen Link dazu habe ich oben gepostet. Mittels PowerShell kannst Du die Eventlogs verschiedener DCs abgrasen. Get-EventLog Use PowerShell Cmdlet to Filter Event Log for Easy Parsing - Hey, Scripting Guy! Blog - Site Home - TechNet Blogs Der "-UserName" Parameter könnte passen, bin mir gerade nicht sicher. Schau Dir das einmal an. Mit XPath: Get-WinEvent Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.