Account Lockout from a server 2003

Status
Niet open voor verdere reacties.
J

JohnG

Gebruiker
Lid geworden
2 dec 2011
Berichten
22
Beste,

Wij hebben een gebruiker die om de zoveel tijd wordt gelockt.
Op onze Server 2008 R2 standard, in de active directory kunnen wij hem weer unlocken, maar dit gebeurt nu te vaak.
Als ik in de eventviewer kijk, in de security stuk, zie ik event id 4740, caller computer name (servername) een van onze servers.
Als ik de lockout tool draai op de bewuste server, zie ik dat op die tijd een winlogon.exe, melding krijg.
Ik heb nu geen idee meer waar het nu allemaal vandaan komt.

Ik heb nu het hele internet afgezocht, maar ik kan niks vinden, wat mij hierbij kan helpen.
Onze leverancier kan er zelf ook niet uitkomen.

Misschien dat hier iemand ons kan helpen hiermee.

Vriendelijke Groet,

JohnG
 
Vergt onderzoek op de servers en werkstations, want dit kan aan heel veel verschillende zaken liggen. Zou als opdracht wel op te pakken zijn.
 
Ik zou zo direct aan 2 dingen kunnen denken, maar het kan nog veel meer zijn:
a. Er is ook een mailserver en de gebruiker is vergeten om na de laatste wachtwoordaanpassing dat ook te doen bij de mail(-synchronisatie) instellingen op de smartphone/ipad/iphone.
b. Er is een Windows service die draait onder die gebruikersnaam, en het ingestelde wachtwoord klopt niet met wat het wachtwoord nu is.

Graag de volgende keer véél meer informatie geven. Bijv. bij je melding dat "zie ik event id 4740, caller computer name (servername) een van onze servers." is het natuurlijk van belang wat de functie is van die server en of die server vanaf Internet bereikbaar is of niet etc.

Tijs.
 
Tijs,

Heb a en b al onderzocht.
De server waar ik het over heb is via RDP bereikbaar.
Het is ook een FTP server.
Hij functioneert ook als licentie server voor een programma wat we hier draaien.
En het heeft ook een fileshare.
Het is ook een print server.
Hopelijk kunnen we hier wat mee

Groet,
JohnG
 
Hakken op een account kan het beste met FTP. Dus ik zou verwachten dat dáár de problemen vandaan komen.
Kijk in de logboeken van de FTP server/service na of het daar vandaan komt.

Tijs.
 
Beste,

Ik krijg op de server deze melding:
A Kerberos Error Message was received:
on logon session PETERSDOMAIN\john
Client Time:
Server Time: 6:50:51.0000 11/19/2012 Z
Error Code: 0x34 KRB_ERR_RESPONSE_TOO_BIG
Extended Error:
Client Realm:
Client Name:
Server Realm: PETERSDOMAIN
Server Name: krbtgt/PETERSDOMAIN
Target Name: krbtgt/PETERSDOMAIN@PETERSDOMAIN
Error Text:
File: e
Line: 6c0
Error Data is in record data.

For more information, see Help and Support Center at

Event id 3.

Groet,

JohnG
 
Die melding ken ik verder niet. Raadpleeg Google etc. voor een verklaring.
PS: Al in de FTP logs gekeken? Ik begin het irritant te vinden dat in terugmeldingen de gegeven tips worden genegeerd.

Tijs.
 
Beste,

Sorry daarvoor.
Ik heb het bekeken.
Ik zie in de log niks vreemd staan.
Alleen in de systeem eventviewer, deze melding

Groet,

Johng
 
Ik heb even de melding opgezocht, maar lijkt niet de oorzaak van de problemen. Vetgedrukt waarom.

0x34 - KRB_ERR_RESPONSE_TOO_BIG: Responsetoo big for UDP, retry with TCP
Associated internal Windows error codes

STATUS_INVALID_BUFFER_SIZE
Corresponding debug output messages

D_DebugLog”KLIN(%x) KDC response too big for UDP: %d bytes\n”)
Possible Cause and Resolution

The size of a ticket is too large to be transmitted reliably via UDP. In a Windowsenvironment, this message is purely informational. A computer running a Windowsoperating system will automatically try TCP if UDP fails.
ResolutionResolutionResolutionResolution

Troubleshooting Kerberos Errors 55
If this error occurs in a mixed operating systems environment, upgradethe UNIX KDCs to the latest MIT distribution of the Kerberos protocol, which supports TCPconnections if UDP fails.
For information about forcing Kerberos to use TCP, see “How to Force Kerberos to Use TCPInstead of UDP” in the Microsoft Knowledge Base at http://go.microsoft.com/fwlink/? LinkId=23043.

Verder kun je hier kijken, als dat niet dezelfde link is die ik hierboven heb aangegeven.
En verder staat hier ook nog het nodige over die foutmelding.

PS: Ik neem aan dat er verder geen SQL server of Sharepoint draait op beide servers. Indien wel, dan kan het liggen aan de vorm van SPN voor verbinding met de SQL server of authenticatie-instelling in Sharepoint.

Tijs.
 
Laatst bewerkt:
Beste,

Wij hebben wel sharepoint draaien, maar niet op deze twee servers.

Ik ga voor je kijken naar deze melding.

Groet,

JohnG
 
Beste,

Vandaag heb ik de melding niet meer terug zien komen.
Ik heb de RDP functie uit onze modem gehaald.
Sindsdien krijg ik geen melding meer.

Groet,

JohnG
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan