Jump to content

Falsche Anmeldung Arbeitsstation finden


Direkt zur Lösung Gelöst von ManfredRitter,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen, 

 

ich habe irgendeinen Witzbold oder ein Programm im Netz was sich ständig mit unserem Administrator Konto anmeldet so dass dieser ständig gesperrt wird. Jetzt will ich rausfinden welche IP resp. Arbeitsstation das verursacht. 

 

Ich wusste mal wo das im Ereignisprotokoll steht finde es jetzt aber nicht mehr. Geht das nur noch über div. Policys und Skripte?

 

Danke & liebe Grüße

Manfred

Link zu diesem Kommentar

Hallo und willkommen im Forum,

 

doch das wird protokolliert.

Auf allen DCs mal in das Security-Event-Log schauen. 

Ein möglicher Event ist 4771  "Kerberos pre-authentication failed". Dort steht auch die Client-Adress

Oder 4625 "An account failed to log on". Dort gibt es die "Source Network Address". Dort kann man dann wieder in den Eventlog schauen.

Natürlich muss die Protokollierung der Security Events in der Domäne richtig konfiguriert sein...

Link zu diesem Kommentar

Super! Danke. Hab nach den falschen EVENT-ID´s gesucht. 

Hab den "Basdard" gefunden. 

 

Danke!


Schade. Das war es doch nicht. Mir sperrt es das Benutzerkonto immer noch alle paar Minuten. Unter den o.g. Event bekomme ich jetzt keine aktuellen Ereignisse. 

 

Wo werden den einfach die Fehlanmeldungen Protokolliert? Unter \Windows-Protokolle\Sicherheit anscheinend nicht. 

Link zu diesem Kommentar

Moin,

 

Anmeldeereignisse werden immer und nur auf dem DC protokolliert, der die Anmeldung bearbeitet. Habt ihr mehrere DCs, dann musst du die Logs auf allen durchsuchen.

 

Der typische Fall ist, dass irgendwo ein Dienst oder Task mit dem Konto konfiguriert ist und sich falsch anmeldet. Das solltest du zum Anlass nehmen, dort das Anmeldekonto zu ändern. Es hat einen Grund, warum man für sowas auf keinen Fall zentrale Administratorkonten verwendet ...

 

Gruß, Nils

Link zu diesem Kommentar

Hallo Nils, 

 

jup. Da hast du natürlich Recht. Wir haben dieses Netzwerk nur übernommen, weil es eben immer soviele Probleme gegeben hat. Ich kenn das auch noch (schande) aus "früheren" Zeiten wo ich selbst das Admin Konto für div. Dienste verwendet hab. Das löst ab und an Probleme ist aber natürlich fatal. 

 

Anyway. Ich habe 80 Rechner und finde in den Logs einfach nicht den richtigen Event:

 

1) 4625 ist das richtige Event für eine Fehlanmeldung?

2) In welchen Anwendungs- und Dienstprotokoll wird das getriggert?

3) Kann ich da nach irgendwas über die Volltextsuche suche, dass mir die Suche erleichtert?

 

4) Wenn ich diesen Client nicht finde, sperrt es das Konto trotzdem wenn ich im AD nur die Maschinen eingebe, an der er sich anmelden darf?

 

Danke!

bearbeitet von ManfredRitter
Link zu diesem Kommentar

Die  wichtigsten Events habe ich doch beschrieben. Du guckst zuerst nur auf allen DCs. Wenn Du was findest, kannst Du noch auf  der  dann bekannten Maschine forschen. Manchmal ist die Ursache eine Anwendung, an der  sich User  anmelden. Dann  sitzt der User natürlich woanders. Hier  helfen dann nur noch  Logs innerhalb der Anwendung weiter.

 

PS: Wenn Server und Client Kerberos verwenden, findest Du auf dem DC i.d.R. nur 4771 . Ich meine, bei NTLM kommen andere Events, die erkenne ich aber nur wenn ich sie sehe ;). Will sagen: Die fallen mir spontan nicht ein.

Edit2: Wenn ich mich z.B. am DB2-Server falsch anmelde, kommt 4776 auf einem DC:

 

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: User
Source Workstation: Server
Error Code: 0xC000006A

bearbeitet von zahni
Link zu diesem Kommentar

Moin,

 

Anyway. Ich habe 80 Rechner und finde in den Logs einfach nicht den richtigen Event:

 

du musst auf den DCs suchen. Nur auf denen und auf allen.

 

Die Anmeldeeinschränkungen im Benutzerkonto dürften nur die interaktive Anmeldung betreffen, nicht die als Dienst oder Task.

 

Wahrscheinlich solltest du die Domäne mal nach Dienst- und Task-Anmeldungen durchsuchen und dort aufräumen.

 

[Dienst- und Task-Konten identifizieren | faq-o-matic.net]
https://www.faq-o-matic.net/2008/12/25/dienst-und-task-konten-identifizieren/

 

[service-Accounts in einem Windows-Netzwerk finden | faq-o-matic.net]
https://www.faq-o-matic.net/2017/02/27/service-accounts-in-einem-windows-netzwerk-finden/

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Danke.

 

Ich schätze ich hab den Fehler gefunden. Wie gesagt, wir haben das hier übernommen als "Herausforderung". Eines der schlimmsten Netze die ich je gesehen habe. Es aufen immer noch auf 2008 Server, teils auf physischen Maschinen. Wir haben jetzt in einer kompletten Spiegelung der Serversysteme in eine VM und die Migration auf 2016 durchgespielt. Was auch soweit geklappt hat. Das meiste löste sich dann als die alten Server weg waren. Im Prinzip hätte man alles auf 0 Stellen sollen, aber bei ü. 80 Arbeitsplätzen... Naja, lange rede kurzer Sinn. Denke das war jetzt mein Fehler:

 

Auf einem neuen 2016 Server (der nur in die Domäne eingehägt worden ist) übertragen wir ein paar Windows-Fremde Anwendungen (CAD-Lizenzserver etc.), damit die schonmal weg sind.
Kann es also sein, dass ich mich am 2016 mit dem Admin anmelden kann, er aber dann nochmal Anmeldungen startet (ggf. andere Authentifizierungmethode) und der alte Server sie dann sperrt? Ich denke da an die o.g. Kerberos Authentifizierung. Authentifzierte 2008 ausschließlich mit NTLM?

 

Bzw. tritt diese Problem sowieso auf wenn man einen 2016 in das Netzwerk bringt?

Link zu diesem Kommentar

Moin,

 

hm, also so pauschal: nein, für alle Fragen.

 

Zunächst sollte man sich überhaupt nicht mit "dem" Administrator irgendwo anmelden. Dann übernehmen Applikationen die Identität des aufrufenden Kontos (also die gültige Anmeldung). Dienste nutzen im Unterschied dazu die Anmeldung, die als Dienstkonto hinterlegt sind.

 

"Komplette Spiegelung der Serversysteme" - klingt gleichzeitig spannend und gruselig. Was immer ihr da macht, ich hoffe, ihr habt das Konzept von vorne bis hinten durchdacht.

 

Gruß, Nils

Link zu diesem Kommentar

Okay, wenn nein, dann meinst du man kann einen 2016 einfach in die Domäne zu den 2008ern ohne Bedenken hinzufügen?

Mit dem Administrator melde ich mich ja an den Servern an. Alle Apps die darauf laufen haben einen eigenen User mit ihren benötigten Rollen. 

 

Wir haben alle Server gesichert und sie in eine VM zurück gesichert, ebenso die "wichtigen" Clients um dort dann zu migrieren und das Verhalten zu beobachten.
Die "Originale Umgebung" haben wir natürlich so gelassen wie sie sind. 

 

In einem der ersten Schritte war die Idee, die ganzen Zusatzanwendungen "Datev, Warenwirtschaft, CAD-Lizenzen usw". zuerst auf neue Server zu legen und dann die Windows Dienste (Server, Exchange etc.) zu migrieren. 

Im Test fiel uns das nicht auf, das er dieses Konto immer sperrt. Wir haben Admin Abstufungen. Es gibt den Oberadmin einen zweiten und dritten jenachdem wieviel rechte er braucht. Die Warenwirtschaft läuft z.B. nur rund mit dem zweiten der ein paar Rechte mehr hat, wird aber nur für den Dienst und nicht für die Anmeldung verwendet. 

 

Also, auf dem 2016 läuft bisher nur der CAD-Lizenzserver der aber als Systemdienst läuft. 

Link zu diesem Kommentar

Wenn technische User gebraucht werden, sollten die dediziert  eingerichtet, mit einem sicheren Password versehen und nur für die eine Aufgabe bzw. Software verwendet werden.

Das Design ist  sicherer und Du siehst schnelle, wer da rumzick.

Bei "Administrator" ist es ein besonderes Problem, weil es den sowohl lokal als auch in der Domäne gibt. Wenn sich eine Anwendung lokal als Dienst mit "administrator" anmeldet, passiert es schnell mal, dass damit dann der Domänen-Administrator gesperrt wird, wenn beide unterschiedliche Passwörter verwenden (was unbedingt empfehlenswert ist).

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...