AD-Konto wird durch iCloud f. Windows ständig gesperrt

[MiLLHouSe 14]

Hallo zusammen,

 

ich habe ein extrem komisches Phänomen/Verhalten.

 

Auf meinem Firmen-PC (Win11) habe ich testweise iCloud installiert, da unser GF das verwenden will/muss/... und es nicht funktionierte, da die Firewall das geblockt hatte.

Nun habe ich das Problem, dass mit Anmeldung autmatisch der Counter hochgezählt wird, dass ein falsches AD-Passwort für meinen Benutzer eingegeben wurde.

Bei uns ist eingestellt, dass bei fünf Fehlversuchen das Konto gesperrt wird. Das habe ich heute schon 4x hinbekommen (gestern 2x), ohne dass ich bis zum dritten mal wusste, woher es kommt. Erst dann habe ich einen Zusammenhang mit iCloud f. Windows und der Sperre hergestellt und konnte das auch nachvollziehen, dass der Zähler mit Anmelden an der App hochgezählt wird bis zum count 5, dann ist das AD-Konto dicht. Im Ereignislog des DCs steht davon nichts, kein Eintrag, dass das Konto gesperrt wurde.

 

Ich habe ehrlich gesagt absolut keinen Plan, wie das zusammenhängen soll, sprich mein AD-Konto mit der iCloud-App und meiner privaten Apple-ID, aber es ist definitiv nachvollziehbar und genau so.

 

Hat jemand eine Idee, was das bitte sein soll? Es wäre nur dumm, wenn der GF nun hergeht und sich anmeldet und ihm ständig sein Konto gesperrt wird. Wie soll ich ihm das erklären? Das ist doch nicht logisch oder?

 

Gruß

Alex

[NorbertFe 1.805]

vor 3 Minuten schrieb MiLLHouSe:

dass bei fünf Fehlversuchen das Konto gesperrt wird.

unabhängig vom aktuellen Problem ist 5 in meinen Augen viel zu gering. Ich würde da eher 10 oder 20 eintragen.

[MiLLHouSe 14]

Ja, das ist ist wieder ein anderes Thema, richtig. Hat der vorherige Admin so eingetragen und muss noch in der Abteilung besprochen werden.

Aber es ist schon komisch...

 

Wir haben 3 DCs.

Der Zähler geht am dritten DC hoch, zieht den "PDC" mit hoch. Der geht zwischenzeitlich durch eine korrekte Anmeldung wieder auf 0, doch der dritte bleibt auf derzeit 4. Melde ich mich nun wieder bei iCloud an, geht der Zähler auf 5. Jede Anmeldung verursacht zwei Fehlversuche, das konnte ich schon feststellen. Also drei Logins und das AD-Konto ist dicht.

 

Mein Konto/Rechner ist aktuell mit dem ersten DC verbunden, vermutlich geht deshalb dort auch der Zähler nach kurzer Zeit wieder auf 0.

bearbeitet 16. Februar von MiLLHouSe

[NilsK 2.785]

Moin,

 

Und welchen Zusammenhang siehst du da konkret zu iCloud? Was machst du genau? Und wo liegt der Zusammenhang zur Firewall? Was hat die "geblockt", und tut sie das noch? Erfolgt evtl. eine Authentisierung an der bzw. über die Firewall, die das Phänomen hervorrufen könnte?

 

Gruß, Nils 

[cj_berlin 1.138]

Am 16.2.2024 um 09:50 schrieb MiLLHouSe:

 

Hat jemand eine Idee, was das bitte sein soll? 

Moin,

 

zwei Fragen:

 

1. hast Du anhand der Event Log-Einträge verifiziert, von welchem Host die fehlgeschlagenen Anmeldeversuche kommen? Vielleicht haben sich da zwei Phänomene überschnitten, die nicht im Zusammenhang stehen...

2. Ist bei euch in der Default Domain Policy die Kennwort-Historie aktiviert? In diesem Fall würde die Sperrung ja bedeuten, dass nicht nur nicht das aktuelle, sondern auch nicht das letzte Kennwort verwendet wird.

[MiLLHouSe 14]

@NilsK

Ganz einfach. Jedes mal, wenn ich iCloud starte, geht mein Zähler aus mir unerklärlichen Gründen hoch. Das kann ich so nachstellen und "funktioniert" jederzeit.

Ich habe jetzt unseren Kontosperrungscounter auf 10 gestellt, somit wird das Konto nicht mehr gesperrt, da der Zähler nach 10 Minuten wieder zurückgesetzt wird (war vorher auf 30 Minuten).

Höher als 6 habe ich es bislang nicht geschafft und somit passt das dann auch.

In unserer Sophos musste ich noch den kompletten IP-Bereich von Apple (17.xxx/8) freigeben und als Regel vom LAN ins WAN definieren. Danach ging die Anmeldung, aber eben mit dem benannten Effekt.

 

@cj_berlin

1. In den Eventlogs finde ich absolut keinen Eintrag auf die Kontosperrung, das ist ja das, was ich noch zusätzlich total seltsam finde. Mein Rechner war z.B. mit unserem DC1 verbunden und der Zähler ging am DC3 auf 5 und hat mein Konto gesperrt. Das ist jetzt auch noch so, jedoch ist jetzt die maximale Anzahl an Fehlversuchen auf 10 eingestellt und somit reicht das.

2. Ja die ist aktiviert, jedoch läuft mein Passwort nicht aus und betrifft mein AD-Konto auch nicht.

 

Ich verstehe halt einfach nicht, warum der Zähler hoch geht, wenn ich meine privaten Anmeldedaten in die iCloud-Anwendung unter Windows eintrage und mich anmelde.

[cj_berlin 1.138]

Moin,

 

kann es *irgendwie* sein, dass Deine iCloud auf die gleiche Mail-Adresse gekoppelt ist, die auch den UPN von Deinem AD-Konto stellt? Du schreibst zwar "private Anmeldedaten", aber vielleicht?

 

Fehlgeschlagene Logons (Event 4625) werden nicht im Default protokolliert, Du musst die Advanced Audit Policy für Deine DCs bearbeiten: https://www.manageengine.com/products/active-directory-audit/how-to/how-to-find-the-source-of-failed-login-attempts.html Auch die Kontosperrung (Event 4740) wird nicht per Default protokolliert - dafür musst Du die Policy "Audit User Account Management" aktivieren.

[MiLLHouSe 14]

Nein, ganz sicher nicht.

iCloud habe ich auch nur testweise auf meinem Gerät hier installiert, um dies zu testen. Und ich verwende iCloud schon seit >10 Jahren und in der jetzigen Firma bin ich erst seit 05/23 und muss beruflich leider ein Android verwenden ; ) .

 

Danke aber für den Tipp mit den Überwachungsrichtlinien, das muss ich dann wohl mal genauer anschauen, denn die Richtlinie "Anmeldeereignisse überwachen" ist bei uns sowohl bei Erfolg als auch bei einem Fehler aktiviert.