Scharping-FVB 13 Geschrieben 24. Juli 2024 Melden Geschrieben 24. Juli 2024 Liebes Forum, ein seltsames Phänomen: Ein Domain-Admin versucht sich an einem Remote-Server anzumelden, die Anmeldung wird abgewiesen: "Mit diesen Benutzerdaten kann keine Verbindung hergestellt werden". An allen anderen Servern der Domäne ist eine Anmeldung mit "diesen Benutzerdaten" allerdings möglich. Da dies nicht umgehend kommt, sind die Anmeldedaten korrekt, auch würde das mit "Benutzername oder Kennwort falsch" quittiert werden. Ein anderer Domain-Admin (allerdings auch Enterprise Admin) kann sich problemlos anmelden, RDP-User ebenso. Im lokalen und DC Event-Log wird Ereignis 4643 geloggt, also eine Abmeldung, die nicht von Benutzer initiiert wurde. Scheint so, dass erst eine Verbindung aufgebaut, die dann abgewiesen wird. - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> <EventID>4634</EventID> <Version>0</Version> <Level>0</Level> <Task>12545</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2024-07-24T06:57:22.589326800Z" /> <EventRecordID>10976596</EventRecordID> <Correlation /> <Execution ProcessID="712" ThreadID="6160" /> <Channel>Security</Channel> <Computer>dc1.xx.xxxxx.de</Computer> <Security /> </System> - <EventData> <Data Name="TargetUserSid">S-1-5-21-1565xxxx-40xxx176-1xxx25-xxxx</Data> <Data Name="TargetUserName">xxxxxxx</Data> <Data Name="TargetDomainName">CS</Data> <Data Name="TargetLogonId">0x9xxxe2</Data> <Data Name="LogonType">3</Data> </EventData> </Event> Auch ein explizites Hinzufügen des Dom-Admins zur lokalen Gruppe der Administratoren und Remote Desktop Users hat keine Besserung gebracht. Was läuft da schief? Viele Grüße Davorin
NilsK 3.046 Geschrieben 24. Juli 2024 Melden Geschrieben 24. Juli 2024 (bearbeitet) Moin, Ob der User, bei dem die Anmeldung klappt, Domain oder Enterprise Admin ist, dürfte egal sein. Wichtig ist, dass er lokale Rechte zur Anmeldung hat. Tritt das Phänomen auch nach einem Reboot des betreffenden Servers auf? Und: es geht um RDP-Anmeldung? Sind andere Zugriffe mit dem User möglich? Gruß, Nils bearbeitet 24. Juli 2024 von NilsK
NorbertFe 2.283 Geschrieben 24. Juli 2024 Melden Geschrieben 24. Juli 2024 vor 16 Minuten schrieb Scharping-FVB: Was läuft da schief? Deny logon bzw rdp logon für domänenadmin?
daabm 1.431 Geschrieben 24. Juli 2024 Melden Geschrieben 24. Juli 2024 (bearbeitet) Ich würde im Eventlog mal etwas "früher" schauen - 4634 ist sicher nicht relevant, das kommt "danach" (wonach auch immer, das ist ja was Du grad suchst). NLA könnte ein Problem sein. Protected Users könnte ein Problem sein. @NorbertFe Deny ist es nicht, da kriegst Du eindeutig auf die Finger. bearbeitet 24. Juli 2024 von daabm
cj_berlin 1.508 Geschrieben 25. Juli 2024 Melden Geschrieben 25. Juli 2024 Logon Type 3 ist Network, daher ist NLA durchaus eine Möglichkeit. Ist da evtl. Remote Credential Guard konfiguriert? Kannst Du von einem anderen Server, wo dieser User sich anmelden kann, RDP zum problematischen Server herstellen, ohne explizite Anmeldung?
Scharping-FVB 13 Geschrieben 25. Juli 2024 Autor Melden Geschrieben 25. Juli 2024 Tut mir leid, ich komme erst Montag wieder dazu, das zu testen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden