Das Konto wurde immer wieder gesperrt. Nach dem entsperren in der ADCU Console, vergingen ein paar Minuten, und es wurde erneut gesperrt.<\/p>\n
Aus Erfahrung gibt es daf\u00fcr zwei Ursachen:<\/p>\n
Ersteres konnte ich mit dem Benutzer ausschliessen, da er das Kennwort schon lange (…) nicht mehr ge\u00e4ndert hatte. Warum auch ;).<\/p>\n
Letzteres w\u00e4re schon bl\u00f6der…<\/p>\n
Als erstes habe ich in auf dem AD DC einer elevated CMD mit folgendem Befehl das logging f\u00fcr Netlogon aktiviert:<\/p>\n
nltest \/DBFlag:2080FFFF<\/pre>\nNun muss der Netlogon-Service neu gestartet werden:<\/p>\n
net stop netlogon && net start netlogon<\/pre>\nNun wird ein Protokoll erstellt:<\/p>\n
%windir%\\debug\\netlogon.log<\/pre>\nDarin wurden mit die Anmeldeversuche mit dem betroffenen Konto angezeigt:<\/p>\n
04\/04 10:56:16 [LOGON] DOMAIN: SamLogon: Transitive Network logon of (null)\\USERNAME from FreeRDP (via SERVERNAME) Entered\n\n04\/04 10:56:16 [LOGON] DOMAIN: SamLogon: Transitive Network logon of (null)\\USERNAME from FreeRDP (via SERVERNAME) Returns 0xC0000234<\/pre>\nNat\u00fcrlich wurden bei DOMAIN, USERNAME und SERVERNAME entsprechende Informationen protokolliert.<\/p>\n
Mit diesen Informationen konnte ich feststellen, dass auf der Firewall eine direkte RPD-Verbindung auf den angegebenen SERVERNAME freigegeben war. Dies ist nat\u00fcrlich nicht gut, weshalb ich diese Regel gleich deaktiviert habe. Anschliessend wurden auf der Firewall noch ein paar Minuten lange die Verbindungsversuche protokolliert. Der Benutzeraccount wurde nicht mehr gesperrt.<\/p>\n
Um das Logging wieder zu deaktivieren, m\u00fcssen folgende Befehle ausgef\u00fchrt werden:<\/p>\n
Nltest \/DBFlag:0x0\n\nnet stop netlogon && net start netlogon<\/pre>\nDie Infos zu diesem Beitrag erhielt ich aus diesem KB<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"