Das Konto wurde immer wieder gesperrt. Nach dem entsperren in der ADCU Console, vergingen ein paar Minuten, und es wurde erneut gesperrt.
Aus Erfahrung gibt es dafür zwei Ursachen:
- Benutzer hat Kennwort kürzlich geändert, aber dies noch nicht auf allen Geräten (z.b. MobilePhones) angepasst. Diese Geräte versuchen nun, mit dem alten Kennwort auf das Konto zuzugreifen.
- Irgendjemand versucht, auf das Konto zuzugreifen, und probiert verschiedene Passwörter aus (Brute-Force-Attack).
Ersteres konnte ich mit dem Benutzer ausschliessen, da er das Kennwort schon lange (…) nicht mehr geändert hatte. Warum auch ;).
Letzteres wäre schon blöder…
Als erstes habe ich in auf dem AD DC einer elevated CMD mit folgendem Befehl das logging für Netlogon aktiviert:
nltest /DBFlag:2080FFFF
Nun muss der Netlogon-Service neu gestartet werden:
net stop netlogon && net start netlogon
Nun wird ein Protokoll erstellt:
%windir%\debug\netlogon.log
Darin wurden mit die Anmeldeversuche mit dem betroffenen Konto angezeigt:
04/04 10:56:16 [LOGON] DOMAIN: SamLogon: Transitive Network logon of (null)\USERNAME from FreeRDP (via SERVERNAME) Entered 04/04 10:56:16 [LOGON] DOMAIN: SamLogon: Transitive Network logon of (null)\USERNAME from FreeRDP (via SERVERNAME) Returns 0xC0000234
Natürlich wurden bei DOMAIN, USERNAME und SERVERNAME entsprechende Informationen protokolliert.
Mit diesen Informationen konnte ich feststellen, dass auf der Firewall eine direkte RPD-Verbindung auf den angegebenen SERVERNAME freigegeben war. Dies ist natürlich nicht gut, weshalb ich diese Regel gleich deaktiviert habe. Anschliessend wurden auf der Firewall noch ein paar Minuten lange die Verbindungsversuche protokolliert. Der Benutzeraccount wurde nicht mehr gesperrt.
Um das Logging wieder zu deaktivieren, müssen folgende Befehle ausgeführt werden:
Nltest /DBFlag:0x0 net stop netlogon && net start netlogon
Die Infos zu diesem Beitrag erhielt ich aus diesem KB.