Immer wieder kommt es vor, dass Nutzerkonten im Domain Controller wiederholt als gesperrt markiert sind und sich der betroffene Nutzer nicht mehr anmelden kann.

Oftmals hängt dies mit geändert Passwörtern und gespeicherten alten Passwörtern (Auto-Login, Password-Manager, etc.) zusammen. Manchmal sind es auch Dinge wie WiFi-Authentifizierung auf privaten Geräten oder gespeicherte Anmeldeinformationen zu einem verbundenen Netzlaufwerk, welche nach einem Passwortwechsel das Konto sperren können.

Die Sicherheitslogs des Domain Controller können da zu Weilen recht unsprechend sein.

Oftmals tauchen dann z.B. die folgenden Fehler auf:

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: username
Source Workstation:
Error Code: 0xc000006a

In dem Zusammenhang werden dann auch die folgenden Fehlercodes angezeigt:

0xc000006a – An invalid attempt to login has been made by the following user.

0xc0000234 – The user account has been automatically locked because too many invalid logon attempts or password change attempts have been requested.

Um hier weiterzukommen, muss für den Netlogon Service der Verbose-Mode aktiviert werden (http://support.microsoft.com/kb/109626/en-us).

Die Aktivierung erfolgt über eine Command Prompt im Administrator-Modus:

nltest /dbflag:0x2080ffff

Nach erfolgreichem Troubleshooting/Debugging sollte diese wieder deaktiviert werden, damit die zusätzlichen Logs nicht zu groß werden:

nltest /dbflag:0x0

Das Debugging-Log findet sich hier %windir%\debug\netlogon.log und kann mit dem Notepad im Administrator-Modus geöffnet werden.