Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

dinsdag 8 januari 2013 14:49

Acties:
  • jasper199069
  • Registratie: November 2009
  • Laatst online: 27-11 14:23

jasper199069

Topicstarter
Beset Tweakers,

Ik wordt al een tijdje geteisterd door een gebruiker die problemen heeft met account lockouts.
Het probleem is dat dit compleet random gebeurt.

Ons netwerk bestaat op het moment uit:
2 domain controllers waarvan er 1 alleen nog maar de VPN inlog bewaakt deze draait win2k3. (Deze komt spoedig te vervallen)
en de andere die bewaakt de DHCP DNS en file server en draait win2k8.

Vreemd genoeg worden alle accounts die op de secundaire DC (win 2k3) staan weergegeven als locked out.

Op de server heb ik netlogon onstaan om te kijken of dat er een verkeerd wachtwoord word verstuurd.
Na een aantal dagen te kijken blijkt dat het wachtwoord wat verstuurd wordt klopt en in het netlogon.log bestande worden succesvolle logins weergegeven.

Ik ben samen met een andere collega al een week bezig om te bekijken waar dit probleem vandaan komt maar tot op heden zijn we er helaas nog niet in geslaagd om het probleem definitief op te lossen.

Hebben jullie nog tips hoe ik kan monitoren waarom dit gebeurt?

Groetjes en alvast bedankt,

Jasper

dinsdag 8 januari 2013 14:50

Acties:
  • dokasensai
  • Registratie: Februari 2004
  • Laatst online: 10-03 16:19

dokasensai

wat staat er in de eventlog onder security

dinsdag 8 januari 2013 15:00

Acties:
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

dokasensai schreef op dinsdag 08 januari 2013 @ 14:50:
wat staat er in de eventlog onder security
+1

Het kan zijn dat er ergens een applicatie is die met de credentials van de gebruiker probeert in te loggen en net zo lang doorgaat tot de account locked is. Misschien heeft de gebruiker in een applicatie nog zijn login gegevens staan?

Alternatief kan je username van je gebruiker in verkeerde handen zijn gevallen en proberen ze nu met dictionary aanvallen het wachtwoord te vinden. (Zeker als het probleem van buiten komt kan dit het geval zijn.)

dinsdag 8 januari 2013 15:17

Acties:
  • jasper199069
  • Registratie: November 2009
  • Laatst online: 27-11 14:23

jasper199069

Topicstarter
Dank jullie voor de tips,

We hebben natuurlijk ook aan de client kant gekeken (gebruikende win7) en daar hebben we alle opgeslagen wachtwoorden verwijderd.

Ook heb ik zojuist tussen de eventlogs gekeken maar kan vreemd genoeg niets van deze gebruiker vinden (terwijl deze vanochtend toch een lockout had) wel kan ik alles over de andere collega's vinden.

Ook heb ik binnen de DC gekeken onder de atribute editor van deze gebruiker en gezocht naar badPasswordTime maar het gekke is dat deze op de datum van afgelopen augustus is blijven staan.

Mijn collega denkt dat het idd van een externe kant af komt aangezien dat deze gebruiker de mail heeft ingesteld op haar mobiel maar synchronisatie staat uit (een htc met android) (ze gebruiken hier ook microsoft outlook met web access)

Nog enige tips? ;)

Groetjes,

Jasper

dinsdag 8 januari 2013 15:27

Acties:
  • Bastiaan
  • Registratie: November 2002
  • Laatst online: 17:38

Bastiaan

Bas·ti·aan (de, m)

Staat die mobiele sync ook uit als ze haar postvak/contactpersonen/calendar op de HTC opent? Deze wil dan namelijk beginnen met syncen, waardoor het account steeds gelockt wordt. Gewoon de sync niet automatisch laten lopen is geen oplossing.

Been there...

dinsdag 8 januari 2013 15:29

Acties:
  • jasper199069
  • Registratie: November 2009
  • Laatst online: 27-11 14:23

jasper199069

Topicstarter
Beste Bastiaan,

Dit heb ik inderdaad nog niet bekeken.
Ik zal dit aan gaan passen en kijken of dit een wijziging geeft.

Hartelijk dank voor de tip.

Groetjes,

Jasper

dinsdag 8 januari 2013 20:15

Acties:
  • Dr.Energy
  • Registratie: Augustus 2009
  • Laatst online: 26-10 06:29

Dr.Energy

Het makkelijkste is als je voor deze gebruiker de features van haar mailbox aanpast. Hier kan je dus o.a. active sync en webmail tijdelijk disablen.

Je kan ook een domeinpolicy aanmaken zodat de volgende events worden gelogd:

Account Logon Events – Failure
Account Management – Success
Logon Events – Failure
Process tracking – Success (alleen server 2003)

Hierdoor kan je onderzoeken of het inderdaad hierdoor wordt veroorzaakt, verder kan je in de eventlog eventueel een custom weergave maken welke de volgende codes bevat: 539, de andere weet ik even niet.

Misschien dat dit je nog wat verder helpt.

dinsdag 8 januari 2013 22:07

Acties:
  • Red Cell
  • Registratie: Februari 2001
  • Laatst online: 13:21

Red Cell

Inderdaad het security log doorkijken. Volgens mij worden failures in 2008 server al gelogged en anders inderdaad Dr.Energy's suggestie volgen. (Hint, gebruik de logboek filter op failed. Scheelt je 10km scrollen)

Kans is groot dat ergens (en dat hoeft geeneens op de pc van de user te zijn) verkeerde cached credentials staan. Als je het het security log een PC vind, kijk wie er op dan moment was ingelogt en kijk bij Gebruikersaccounts onder "uw referenties beheren".

Heb dit wel eens meegemaakt dat hier oude credentials stonden voor een netwerk share.

The mystery of life isn't a problem to solve, but a reality to experience. A process that cannot be understood by stopping it. We must move with the flow of the process. We must join it. We must flow with it. - Jamis

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq