Hallo,
wir haben in unserer AD Domäne einige Benutzer die ständig gesperrt sind. Es handelt sich immer um die gleichen Benutzer.
Eingabefehler des Benutzers können wir ausschließen. In der Ereignisanzeige vom DC haben filtern wir nach ID 4771 (Kerberos-Authentifizierungsdienst) und sehen im Fehlercode 0x12 die schon gesperrten Konten bzw. 0x18 für einige Fehlversuche. Die Fehlversuche sind teilweise sehr häufig (gleiche Sekunde) hintereinander.
Dieses ungewöhnliche Verhalten tritt eigentlich erst auf, seitdem wir AD auf Windows 2016 (1607) im letzten Jahr umgestellt haben. Domänenfunktionsebene ist noch 2008 R2. Es ist nur ein DC im Netz mit aktuellen Windows Updates (Stand 04/2019).Mit dem Tool lockoutstatus kann man zwar sehen, wann beim betroffenen Benutzer das letzte Mal ein falsches Passwort gezählt wurde, aber schlüssig wird das ganze nicht.
Evtl. hat noch einer von Euch eine Idee.
Vielen Dank.
Chris