Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um wiederholte schädliche Anmeldeversuche zu verhindern, sperrt eine verwaltete Microsoft Entra Domain Services-Domäne die Konten nach einem definierten Schwellenwert. Die Kontosperrung kann versehentlich auch ohne einen Angriffsvorfall bei der Anmeldung erfolgen. Wenn ein Benutzer beispielsweise wiederholt das falsche Kennwort eingibt oder ein Dienst versucht, ein altes Kennwort zu verwenden, wird das Konto gesperrt.
Dieser Troubleshooting-Artikel beschreibt, aus welchen Gründen Konten gesperrt werden können. Außerdem erfahren Sie, wie Sie das Verhalten konfigurieren und wie Sie protokollierte Sicherheitsüberwachungen auswerten, um Sperrvorfälle zu beheben.
Was ist eine Kontosperrung?
Benutzerkonten werden in einer verwalteten Domain Services-Domäne gesperrt, wenn ein festgelegter Schwellenwert für fehlgeschlagene Anmeldeversuche erreicht wurde. Das Verhalten bei Kontosperrungen ist so konzipiert, dass Sie vor wiederholt versuchten Brute-Force-Anmeldungen geschützt werden, die auf einen automatisierten digitalen Angriff hinweisen können.
Wenn in 2 Minuten 5 Versuche mit ungültigen Kennwörtern vorliegen, wird das Konto standardmäßig für 30 Minuten gesperrt.
Die Standard-Schwellenwerte für die Kontosperrung werden mithilfe differenzierter Kennwortrichtlinien konfiguriert. Sie können diese standardmäßigen Schwellenwerte für Kontosperren Ihren spezifischen Anforderungen entsprechend außer Kraft setzen. Jedoch raten wir davon ab, die Schwellenwerte mit dem Ziel zu erhöhen, die Anzahl der Kontosperrungen zu reduzieren. Beheben Sie zunächst die Ursache der Kontosperrungen.
Eine differenzierte Kennwortrichtlinie
Mit differenzierten Kennwortrichtlinien (FGPP) können Sie bestimmte Einschränkungen für Kennwort- und Kontosperrungsrichtlinien auf verschiedene Benutzer in einer Domäne anwenden. Differenzierte Kennwortrichtlinien betreffen nur Benutzer in einer verwalteten Domäne. Cloudbenutzer und Domänenbenutzer, die von Microsoft Entra ID in der verwalteten Domäne synchronisiert werden, sind nur innerhalb der verwalteten Domäne von den Kennwortrichtlinien betroffen. Deren Konten in Microsoft Entra ID oder in einem lokalen Verzeichnis sind davon nicht betroffen.
Richtlinien werden über die Gruppenzuordnung in der verwalteten Domäne verteilt. Vorgenommene Änderungen werden bei der nächsten Benutzeranmeldung angewendet. Wenn Sie die Richtlinie ändern, wird ein bereits gesperrtes Benutzerkonto nicht entsperrt.
Weitere Informationen zu differenzierten Kennwortrichtlinien sowie zu den Unterschieden zwischen Benutzern, die direkt in Domain Services erstellt werden, und Benutzern, die über Microsoft Entra ID synchronisiert werden, finden Sie unter Konfigurieren von Kennwort- und Kontosperrungsrichtlinien.
Allgemeine Gründe für Kontosperrungen
Folgende Szenarien stellen die häufigsten Gründe für eine Kontosperrung dar, wenn böswillige Absichten oder Faktoren keine Rolle spielen:
- Der Benutzer hat sich selbst gesperrt.
- Hat der Benutzer nach einer kürzlichen Kennwortänderung das vorherige Kennwort weiterverwendet? Die Standardrichtlinie für Kontosperrungen (5 fehlgeschlagene Versuche in 2 Minuten) kann durch einen Benutzer ausgelöst werden, der versehentlich ein altes Kennwort verwendet.
- Eine Anwendung oder ein Dienst nutzt ein altes Kennwort.
- Wenn ein Konto von Anwendungen oder Diensten verwendet wird, können diese Ressourcen wiederholt versuchen, sich mit einem alten Kennwort anzumelden. Dieses Verhalten bewirkt, dass das Konto gesperrt wird.
- Versuchen Sie, die Nutzung eines Kontos in mehreren unterschiedlichen Apps oder Diensten einzuschränken und vermerken Sie, wo Anmeldeinformationen genutzt werden. Wenn ein Kontokennwort geändert wird, aktualisieren Sie die zugehörigen Anwendungen oder Dienste entsprechend.
- Das Kennwort wurde in einer anderen Umgebung geändert, und das neue Kennwort wurde noch nicht synchronisiert.
- Beim Ändern eines Kontokennworts außerhalb der verwalteten Domäne, z. B. in einer lokalen AD DS-Umgebung, kann es einige Minuten dauern, bis die Kennwortänderung über Microsoft Entra ID und in der verwalteten Domäne synchronisiert wird.
- Wenn ein Benutzer vor Abschluss der Kennwortsynchronisierung versucht, sich bei einer Ressource in der verwalteten Domäne anzumelden, hat dies die Sperrung des Kontos zur Folge.
Troubleshooting für Kontosperrungen mit protokollierten Sicherheitsüberwachungen
Aktivieren Sie zur Problembehandlung bei auftretenden Kontosperrungsereignissen Sicherheitsüberwachungen für Domain Services. Überwachungsereignisse werden nur ab der Aktivierung des Features erfasst. Im Idealfall sollten Sie Sicherheitsüberwachungen bereits aktivieren, bevor ein zu behebendes Problem mit Kontosperrungen auftritt. Wenn bei einem Benutzerkonto wiederholt Probleme mit Kontosperrungen auftreten, können Sie die Sicherheitsüberwachung im Hinblick auf den nächsten Vorfall aktivieren.
Nach Aktivierung der Sicherheitsüberwachung zeigen Ihnen die folgenden Musterabfragen, wie Sie Kontosperrungsereignisse, Code 4740, auswerten.
Alle Kontosperrungsereignisse der letzten sieben Tage anzeigen:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
Alle Kontosperrungsereignisse der letzten sieben Tage für das Konto driley anzeigen.
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
Sehen Sie sich alle Kontosperrungen zwischen dem 26. Juni 2020 um 9 Uhr und dem 1. Juli 2020 um Mitternacht an, aufsteigend sortiert nach Datum und Uhrzeit:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc
Möglicherweise sind die Eventdetails 4776 und 4740 von „Source Workstation“ (Quellarbeitsstation) leer. Das liegt daran, dass ein Kennwortfehler im Netzwerkprotokoll über einige andere Geräte aufgetreten ist.
Beispielsweise kann ein RADIUS-Server die Authentifizierung an Domain Services weiterleiten.
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Transitive Network logon of contoso\Nagappan.Veerappan from (via LOB11-RADIUS) Entered
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Transitive Network logon of contoso\Nagappan.Veerappan from (via LOB11-RADIUS) Returns 0xC000006A
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Transitive Network logon of contoso\Nagappan.Veerappan from (via LOB11-RADIUS) Entered
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Transitive Network logon of contoso\Nagappan.Veerappan from (via LOB11-RADIUS) Returns 0xC000006A
Aktivieren Sie RDP zu Ihren DCs im NSG zum Back-End, um die Diagnoseerfassung zu konfigurieren (Netlogon). Weitere Informationen zu den Anforderungen finden Sie unter Eingangssicherheitsregeln.
Wenn Sie die Standard-NSG bereits geändert haben, führen Sie die Schritte unter Port 3389 – Verwaltung über Remotedesktop aus.
Um die Netlogon-Anmeldung auf einem beliebigen Server zu aktivieren, führen Sie die Schritte unter Aktivieren der Debugprotokollierung für den Netlogon-Dienst aus.
Nächste Schritte
Weitere Informationen zu differenzierten Kennwortrichtlinien finden Sie unter Konfigurieren von Richtlinien für Kennwörter und Kontosperrungen.
Sollten beim Einbinden Ihrer VM in die verwaltete Domäne weiterhin Probleme auftreten, öffnen Sie ein Supportticket für Microsoft Entra ID, um Hilfe zu erhalten.