Quantcast
Channel: Windows Server forum
Viewing all articles
Browse latest Browse all 2378

"Überwachung gescheitert" täglich im Eventlog

January 22, 2014, 4:34 am
$
0
0

Hallo an alle,

aktuell haben wir bei einem unserer Kunden das Problem, dass zwei PCs (Windows XP Sp3, aktuelle Updates) täglich um die Mittagszeit ca. 1 Minute lang auf verschiedenen Servern mit verschiedenen lokalen Benutzerkonten Anmeldeversuche unternehmen (hunderte in dieser Minute). Das ganze geht auf mindestens vier verschiedenen Servern so, die PCs sind Mitglied der Domäne, die Server ebenfalls. Die Ports sind in jedem Eintrag unterschiedlich, bewegen sich aber in dem Bereich wie im Beispiel.

Virenscans zu diesem Zeitpunkt können wir ausschließen, auch gehen von den Benutzern keine besonderen Aktivitäten aus. Die Benutzer arbeiten hauptsächlich auf einem Terminalserver. Von den vier betroffenen Servern sind zwei Terminalserver.

Für Hinweise zu dieser Problematik wäre ich sehr dankbar.

Mit freundlichem Gruß,

J. Esders

Auszug aus dem Eventlog:

Fehler beim Anmelden eines Kontos.
 
Antragsteller:
 Sicherheits-ID:  NULL
SID
 Kontoname:  -
 Kontodomäne:  -
 Anmelde-ID:  0x0
 
Anmeldetyp:   3
 
Konto, für das die Anmeldung fehlgeschlagen ist:
 Sicherheits-ID:  NULL
SID
 Kontoname:  Administrator
 Kontodomäne:  DOMAINNAME
 
Fehlerinformationen:
 Fehlerursache:  Unbekannter Benutzername oder
ungültiges
Kennwort.
 Status:   0xc000006d
 Unterstatus::  0xc000006a
 
Prozessinformationen:
 Aufrufprozess-ID: 0x0
 Aufrufprozessname: -
 
Netzwerkinformationen:
 Arbeitsstationsname: CLIENT-NAME
 Quellnetzwerkadresse: CLIENT-IP
 Quellport:  2848
 
Detaillierte Authentifizierungsinformationen:
 Anmeldeprozess:  NtLmSsp

 Authentifizierungspaket: NTLM
 Übertragene Dienste: -
 Paketname (nur
NTLM): -
 Schlüssellänge:  0
 
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird
auf dem Computer generiert, auf den zugegriffen wurde.
 
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem
die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der
Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder
"Services.exe".
 
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen
sind 2 (interaktiv) und 3 (Netzwerk).
 
Die Felder für die Prozessinformationen geben den Prozess und das Konto an,
für die die Anmeldung angefordert wurde.
 
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der
Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer
bleiben.
 
Die Felder für die Authentifizierungsinformationen enthalten detaillierte
Informationen zu dieser speziellen Anmeldeanforderung.
 - Die übertragenen
Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt
waren.
 - Der Paketname gibt das in den NTLM-Protokollen verwendete
Unterprotokoll an.
 - Die Schlüssellänge gibt die Länge des generierten
Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser
Wert 0.

Search
Viewing all articles
Browse latest Browse all 2378
Search
<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>