AD-Konto wurde gesperrt

707
Sun Cleverland

Wir haben ein Dienstkonto in unserer AD-Umgebung (Windows 2003), das regelmäßig gesperrt wurde.

einige Hintergrundinformationen:

  • Windows 2003-Domäne
  • Das Konto ist so eingestellt, dass es niemals abläuft
  • Wir haben das Passwort dieses Kontos nie geändert
  • Das Intervall zwischen jedem Mal, wenn ich das Konto freischalte, ist völlig zufällig.

Manchmal läuft das Konto normalerweise ein oder zwei Wochen ohne Probleme. ein anderes Mal wird es einen Tag nach dem Entsperren wieder gesperrt

Zuerst dachte ich, der Account könnte von einem Prozess oder Planungsjob oder etwas verwendet werden, das ein falsch konfiguriertes Passwort hat. Ich habe die Sicherheitsprotokolle aller DCs geprüft, aber nichts gefunden. Ich habe auch das Microsoft Account Lockout Tool ausprobiert und auch kein Glück.

Wir haben den internen Netzwerkverkehr geprüft (unter der Annahme, dass die Sperre durch einen Server / Endpoint-Rechner ausgelöst wird), es konnte jedoch kein ungültiger Anmeldeversuch mit diesem Konto gefunden werden.

Wir haben viele andere Dienstkonten in derselben AD-Umgebung, und keines davon hat das gleiche Problem.

Ich habe wirklich keine Ahnung ... jede Hilfe wird sehr geschätzt!

Danke vielmals!

0
eine zusätzliche Info - ich glaube, es hat etwas mit dem Ablaufdatum zu tun (selbst wenn es auf nie abgelaufen ist), also habe ich versucht, es wie das 31. Dezember 2050 abzulaufen, aber das hat nichts geändert. Das Konto wurde einige Tage nach dem letzten Aufschließen wieder gesperrt. Sun Cleverland vor 7 Jahren 0
Wenn Sie also sagen: Wir haben ein Dienstkonto in unserer AD-Umgebung (Windows 2003), das häufig gesperrt wurde. Sie können jedoch in ALLEN DCs-Sicherheitsereignis-Viewer-Protokollen nichts relevantes für dieses Login finden Konto wird gesperrt? Kann etwas nicht mit diesem Dienst ausgeführt werden, und wenn ja, wofür verwenden Sie es, z. B. FTP-Automatisierung, wenn ein Server-Dienst etwas tut usw. Ich gehe davon aus, dass jemand nicht nur AD-Benutzer und Computer- oder NET USER-Befehle sieht, also geben Sie eine kleine Erklärung Zumindest von dem, was dieser Server in Bezug auf die Domänenressourcen und -funktionen berührt. Pimp Juice IT vor 7 Jahren 0
Dies ist ein Dienstkonto, das zu Sicherungszwecken verwendet wird. Sobald es gesperrt wurde, schlägt der Sicherungsjob fehl. Dieses Konto wird seit Jahren vom Sicherungsdienst verwendet, und das Problem trat erst vor einigen Monaten auf. Vorausgesetzt, dass auch an dem Sicherungsjob nichts geändert wurde und wie bereits erwähnt, wurde das Kennwort auch für dieses Konto nicht geändert. Wenn es durch einen ungültigen Anmeldeversuch gesperrt wurde, sollte etwas in der Ereignisanzeige angemeldet sein. Sun Cleverland vor 7 Jahren 0
Was sagt die Fehlermeldung in Ihrer Backup-Software, wenn der Fehler auftritt und was verwenden Sie Software wie ArcServe? usw. und wird über das Netzwerk oder einen Client Agent gesichert? Ich gehe davon aus, dass der Sicherungsjob auf verschiedenen Servern fehlschlägt und nicht nur auf einem, sodass es dort auch keine Gemeinsamkeiten gibt? Pimp Juice IT vor 7 Jahren 0
Es ist ArcServe. Die Nachricht lautet "Die Anforderung wurde vom Agenten abgelehnt. Der Benutzername / oder das Kennwort ist ungültig (Node = machinename @ IPaddress)". Da Jobs lange Zeit nicht modifiziert wurden (keine neuen Knoten hinzugefügt wurden), wird für Jahre dieselbe Kombination aus Konto und Kennwort verwendet. Und wie beschrieben, geschieht es zufällig. Wenn einer der Sicherungsjobs einen falschen Benutzernamen / ein falsches Kennwort hat, gehe ich davon aus, dass das Sperren regelmäßig erfolgt (alle Jobs werden entweder wöchentlich oder täglich zu einem bestimmten geplanten Zeitpunkt ausgeführt). Der seltsame Teil dieser Sache ist, dass wir manchmal für ein oder zwei Wochen problemlos laufen können Sun Cleverland vor 7 Jahren 0
Sun - Ich bin mit ArcServe Backup vertraut und glaube, ** 1. ** zu überprüfen, ob die Client-Agent-Versionen auf den Maschinen und für den ArcServe-Server kompatible Versionen sind (oder den Support anrufen, um zu bestätigen, ob dies möglich und erforderlich ist. Ich gehe davon aus, dass Sie " nur für den Fall "überprüfte das Offensichtliche: https://arcserve.zendesk.com/hc/en-us/articles/202872585-E8533-The-request-isdenied-by-the-agent-The-username-und -oder -kennwort-is-invalid-Node-Node-Name-IP-Address- Optionen, Konfigurationsdateien usw. Alle dort aufgeführt, einschließlich lokaler Sicherheitsrichtlinieneinstellungen Ist dies ein Dateiserver, ein E-Mail-Server oder wo der Server ausfällt weise? Pimp Juice IT vor 7 Jahren 0
Danke für deinen Beitrag. Ich überprüfe den Link, den Sie mir gegeben haben. Entschuldigung, ich bin mit ArcServe eigentlich nicht sehr vertraut. In der Zwischenzeit lese ich auch das Protokoll des arcserve-Protokolls univag.log und irgendwie kann ich das Zeitintervall ermitteln, in dem die Aussperrung stattfand. Das Protokoll enthält eine Zeile mit der Meldung "Anmeldebenutzer ist fehlgeschlagen, nochmal versuchen, rc = 1909". Ich habe etwas gesucht, konnte aber keine Informationen über dieses RC = 1909 finden. Fragen Sie sich, ob Sie eine Ahnung hätten? Sun Cleverland vor 7 Jahren 0

1 Antwort auf die Frage

0
user270460

Um den Grund der Kontosperrung herauszufinden, müssen Sie die erweiterte Überwachungsrichtlinieneinstellung konfigurieren. Damit können Sie Anmeldeereignisse in Gruppenrichtlinienobjekten nachverfolgen und überprüfen. Wenn Sie die Richtlinie erfolgreich konfiguriert haben, können Sie das Sicherheitsereignisprotokoll nach der Ereignis-ID 4740 abfragen. Lesen Sie den folgenden Artikel, in dem die Informationen im Detail zusammengefasst sind: https://community.spiceworks.com/how_to/128213-identify-the- Quelle-von-Konto-Sperren im aktiven Verzeichnis

Willkommen bei Super User. Können Sie Anweisungen geben, wie Sie die Richtlinieneinstellung konfigurieren und was in der Ereignis-ID 4740 zu suchen ist? Während das Verlinken auf Quellenmaterial hilfreich und ermutigt ist, legen wir auf dieser Q & A-Site Wert auf eindeutige Antworten, die auch dann nützlich sind, wenn externe Links nicht funktionieren. Vielen Dank für Ihren Beitrag. Twisty Impersonator vor 7 Jahren 0
Ich habe das Prüfprotokoll überprüft, aber bei diesem Konto ist kein Sicherheitsereignis fehlgeschlagen. Ich habe auch versucht, das Microsoft-Konto zu sperren, was wiederum nichts fand. Ich möchte wissen, ist es möglich, dass das Konto tatsächlich von keinem Programm / Skript verwendet wird, aber das AD selbst das Konto irgendwie abläuft (obwohl das Konto nie abgelaufen ist) Sun Cleverland vor 7 Jahren 0

Verwandte Probleme