10
Account locked - wie finde ich die Ursache?
Hallo,
mein eigener Useraccount (schätze mal: Schande über mich, habe da wohl mal nicht aufgepasst) wird seit gestern innerhalb von Sekunden gelocked (Server2016 mit Hyper-V und 2 DCs).
Mit dem MS Unlock-Tool sehe ich das recht schön - allerdings gibt mir der zugehörige Event keinen gültigen Schuldigen-Namen zurück.
Die Netlogging-Infos bringen einen leider gar nicht weiter.
Caller-Computer-Name ist "\\RYZEN1", den gibt es definitiv nicht.
Erste Frage daher: wie finde ich den korrekten Verursacher?
Zweitens: selbst wenn er mir einen MAschinenamen rausgibt, wie finde ich einfachst den zugehörigen Prozess?
Danke Euch!
mein eigener Useraccount (schätze mal: Schande über mich, habe da wohl mal nicht aufgepasst) wird seit gestern innerhalb von Sekunden gelocked (Server2016 mit Hyper-V und 2 DCs).
Mit dem MS Unlock-Tool sehe ich das recht schön - allerdings gibt mir der zugehörige Event keinen gültigen Schuldigen-Namen zurück.
Die Netlogging-Infos bringen einen leider gar nicht weiter.
Caller-Computer-Name ist "\\RYZEN1", den gibt es definitiv nicht.
Erste Frage daher: wie finde ich den korrekten Verursacher?
Zweitens: selbst wenn er mir einen MAschinenamen rausgibt, wie finde ich einfachst den zugehörigen Prozess?
Danke Euch!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 501558
Url: https://administrator.de/contentid/501558
Printed on: April 20, 2024 at 04:04 o'clock
10 Comments
Latest comment
Caller-Computer-Name ist "\\RYZEN1", den gibt es definitiv nicht.
Das klingt für mich nach nem Notebook oder einem anderen Mobilgerät. Sind irgendwelche Geräte mit Deinem Account verknüpft?
Ehrlich gesagt weiß ich es nicht - zur Zeit ist auch niemand in der Firma wg. des Brückentages.
Ein 'RYZEN1' ist auch nicht pingbar bzw. wird nicht aufgelöst
Ein 'RYZEN1' ist auch nicht pingbar bzw. wird nicht aufgelöst
Hallo
Es gibt keinen Computer mit dem Namen in deiner AD? Eventuell jemand über VPN in deinem Netzwerk? OWA bzw. EAS?
Gruß Mikro
Es gibt keinen Computer mit dem Namen in deiner AD? Eventuell jemand über VPN in deinem Netzwerk? OWA bzw. EAS?
Gruß Mikro
Ich würde mal im DHCP suchen gehen.....
wie befürchtet gibt es auch keinen RYZEN1 im DHCP.
Aber - der PC mit dem ich gerade von draussen über Sophos-UTM-VPN reingehe heisst RYZEN1! Damit Treffer, Danke für das mit-der-Nase-draufstossen.
Wie kann ich dann wohl rausbekommen, welcher Prozess auf dem hiesigen PC die Dauerattacken auf den Account fährt (nutze nur die RDP-Verbnidung zu einem im Netz befindlichen Terminalserver. Das Anmelden klappt aber erst gar nicht da der Accoung sofort auf locked geht)?
Aber - der PC mit dem ich gerade von draussen über Sophos-UTM-VPN reingehe heisst RYZEN1! Damit Treffer, Danke für das mit-der-Nase-draufstossen.
Wie kann ich dann wohl rausbekommen, welcher Prozess auf dem hiesigen PC die Dauerattacken auf den Account fährt (nutze nur die RDP-Verbnidung zu einem im Netz befindlichen Terminalserver. Das Anmelden klappt aber erst gar nicht da der Accoung sofort auf locked geht)?
Stimmen denn die Anmeldedaten?
Also in der RDP Session Domain\Username. Ansonsten könnte da stehen RYZEN1\Username.
Check das mal.
Also in der RDP Session Domain\Username. Ansonsten könnte da stehen RYZEN1\Username.
Check das mal.
Zitat von @mabies:
Wie kann ich dann wohl rausbekommen, welcher Prozess auf dem hiesigen PC die Dauerattacken auf den Account fährt (nutze nur die RDP-Verbnidung zu einem im Netz befindlichen Terminalserver. Das Anmelden klappt aber erst gar nicht da der Accoung sofort auf locked geht)?
Wie kann ich dann wohl rausbekommen, welcher Prozess auf dem hiesigen PC die Dauerattacken auf den Account fährt (nutze nur die RDP-Verbnidung zu einem im Netz befindlichen Terminalserver. Das Anmelden klappt aber erst gar nicht da der Accoung sofort auf locked geht)?
Hast du dein Passwort kürzlich geändert? Hab so das Gefühl das ein Dienst sich versucht mit deinem Konto anzumelden. Wegen falschem Passwort bist du dann natürlich in einer Loop.
muss wohl das mit dem geänderten PW sein.
Sehe nur noch nicht welcher Prozess sich so penetrant im Hintergrund versucht stets neu anzumelden....
Sehe nur noch nicht welcher Prozess sich so penetrant im Hintergrund versucht stets neu anzumelden....
=> Procmon
GELÖST
Letztlich waren es alte Laufwerkmappings mit altem Passwort auf den per VPN verbundenen Servern...
Danke Euch für die richtige Spur
Letztlich waren es alte Laufwerkmappings mit altem Passwort auf den per VPN verbundenen Servern...
Danke Euch für die richtige Spur
