6
"Nicht existenter Benutzer" erzeugt Login-Fehler am NAS
Hallo zusammen !
Es geht um folgendes: ich habe genau einen von mehreren Servern 2019 im Netzwerk, der folgendes macht:
Von dieser IP-Adresse aus erfolgen zu unterschiedlichen Zeiten -immer in einer Serie von 4-6 innerhalb von Sekunden- Anmeldeversuche an unser QNAP-NAS und zwar unter Verwendung des Benutzernamens
[Domain]\[Servername]$
Diesen Benutzernamen gibt es aber nicht, jedenfalls nicht sichtbar: weder bei den lokalen Benutzern noch im ADS der Domain, deren Mitglied der Server ist. Die ungültigen Anmeldeversuche dieses "Geists" führen beim NAS dazu, dass die IP-Adresse des Servers auf die Sperrliste für 24h gesetzt wird und da das jeden Tag passiert, kann praktisch kein beabsichtigter Zugriff von diesem Server auf das NAS mehr erfolgen.
Nota: das NAS ist nicht Domänenmitglied. Zugriffe von allen anderen Maschinen aus mit richtigen Benutzern problemlos möglich.
Merkwürdig: dieser Server ist der einzige der im Netz vorhandenen 2019er, der dieses seltsame Verhalten zeigt. Und sie sind alle identisch installiert.
Ereignisprotokoll und Aufgabenplanung kontrolliert, nichts Auffälliges. Im Ereignisprotokoll hat heute morgen um 04:26 (als Beispiel) überhaupt nichts stattgefunden zur Zeit dieser Anmeldeversuche.
Meine Frage: wie werde ich diesen Poltergeist bzw. seine Aktivitäten in Richtung NAS los ?
Ich danke Euch für Eure Ideen !
Gruss Walter
Es geht um folgendes: ich habe genau einen von mehreren Servern 2019 im Netzwerk, der folgendes macht:
Von dieser IP-Adresse aus erfolgen zu unterschiedlichen Zeiten -immer in einer Serie von 4-6 innerhalb von Sekunden- Anmeldeversuche an unser QNAP-NAS und zwar unter Verwendung des Benutzernamens
[Domain]\[Servername]$
Diesen Benutzernamen gibt es aber nicht, jedenfalls nicht sichtbar: weder bei den lokalen Benutzern noch im ADS der Domain, deren Mitglied der Server ist. Die ungültigen Anmeldeversuche dieses "Geists" führen beim NAS dazu, dass die IP-Adresse des Servers auf die Sperrliste für 24h gesetzt wird und da das jeden Tag passiert, kann praktisch kein beabsichtigter Zugriff von diesem Server auf das NAS mehr erfolgen.
Nota: das NAS ist nicht Domänenmitglied. Zugriffe von allen anderen Maschinen aus mit richtigen Benutzern problemlos möglich.
Merkwürdig: dieser Server ist der einzige der im Netz vorhandenen 2019er, der dieses seltsame Verhalten zeigt. Und sie sind alle identisch installiert.
Ereignisprotokoll und Aufgabenplanung kontrolliert, nichts Auffälliges. Im Ereignisprotokoll hat heute morgen um 04:26 (als Beispiel) überhaupt nichts stattgefunden zur Zeit dieser Anmeldeversuche.
Meine Frage: wie werde ich diesen Poltergeist bzw. seine Aktivitäten in Richtung NAS los ?
Ich danke Euch für Eure Ideen !
Gruss Walter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7147611458
Url: https://administrator.de/contentid/7147611458
Printed on: April 27, 2024 at 12:04 o'clock
6 Comments
Latest comment
Moin,
Das ist das Computerkonto des Servers im AD. Soll der Server auf das NAS zugreifen? Datensicherung o.ä.?
Wenn das NAS nicht in der Domäne ist, kann es das Konto natürlich nicht kennen.
Gruß, Avoton
Das ist das Computerkonto des Servers im AD. Soll der Server auf das NAS zugreifen? Datensicherung o.ä.?
Wenn das NAS nicht in der Domäne ist, kann es das Konto natürlich nicht kennen.
Gruß, Avoton
Hallo
Klingt nach z. B. Lansweper discover. Ist in der Richtung etwas auf den NAS am laufen?
Naja login ist login mit den Username. Der muss nicht im der AD sein. Anmeldung via PowerShell sollte auch so auftauchen. Im Script ist dann User und Kennwort hinterlegen.
PowerShell kann man ja einfach tracken. Was ist mit dem Kennwort Tresor in der Systemsteuerung? Stehen da für das NAS solche Daten drin? Der macht alleine nichts weiter. Ggf. Kommt man so den User auf die Spur.
Mfg Crusher
Klingt nach z. B. Lansweper discover. Ist in der Richtung etwas auf den NAS am laufen?
Naja login ist login mit den Username. Der muss nicht im der AD sein. Anmeldung via PowerShell sollte auch so auftauchen. Im Script ist dann User und Kennwort hinterlegen.
PowerShell kann man ja einfach tracken. Was ist mit dem Kennwort Tresor in der Systemsteuerung? Stehen da für das NAS solche Daten drin? Der macht alleine nichts weiter. Ggf. Kommt man so den User auf die Spur.
Mfg Crusher
Moin,
welchen Rollen laufen denn auf dem besagten 2019er? Irgendwelche sonstige Software auf diesem Server?
Dienste überprüft auf dem 2019er bzgl. Anmeldedaten (bspw. Backup-Software oder auch ein iSCSI Initiator o.ä.)?
War das QNAP vielleicht mal AD-joined und das sind noch irgendwelche Leichen?
Gruß
cykes
welchen Rollen laufen denn auf dem besagten 2019er? Irgendwelche sonstige Software auf diesem Server?
Dienste überprüft auf dem 2019er bzgl. Anmeldedaten (bspw. Backup-Software oder auch ein iSCSI Initiator o.ä.)?
War das QNAP vielleicht mal AD-joined und das sind noch irgendwelche Leichen?
Gruß
cykes
Zitat von @Avoton:
Moin,
Das ist das Computerkonto des Servers im AD. Soll der Server auf das NAS zugreifen? Datensicherung o.ä.?
Wenn das NAS nicht in der Domäne ist, kann es das Konto natürlich nicht kennen.
Gruß, Avoton
Moin,
Das ist das Computerkonto des Servers im AD. Soll der Server auf das NAS zugreifen? Datensicherung o.ä.?
Wenn das NAS nicht in der Domäne ist, kann es das Konto natürlich nicht kennen.
Gruß, Avoton
Hallo Avoton !
Ja, so was habe ich mir schon gedacht. Aber am Laufen ist da derzeit (noch) gar nix. Diesen Server habe ich zwar voll installiert mit einiger Anwendersoftware (Office etc.) aber nichts anderes als das, was auf seinen beiden 2019er Brüdern nicht auch drauf ist.
Das NAS ist bewusst nicht Mitglied der Domäne, da ausschließlich von mir als admin veranstaltete Zugriffe stattfinden sollen. Bisher lief dieser Server nur leer als Reserve mit ohne Einrichtung von irgendwas Richtung NAS.
In der Tat ist aber GEPLANT (für heute), eine iSCSI-Verbindung zum NAS zwecks Datensicherung herzustellen. Dabei stört dieser Effekt natürlich.
Wie wäre es denn mit folgender Erklärung: die Mikrosoft Netzwerkerkennung ist auf diesem 2019er eingeschaltet. Sichtbar sind alle im Netz vorhandenen Server + das NAS. Was macht den die Netzwerkerkennung eigentlich, um die vorhandenen Verbindungen zu prüfen ? Versucht an dieser Stelle dieser ominöse "User" zur Vermindungsaufnahme so etwas wie eine Anmeldung ?
Meine Idee ist: beim NAS ist der Grenzwert für die Anzahl der fehlgeschlagenen Versuche genau 5 bis zur Aufnahme der IP-Adresse inn die Sperrliste. => weniger Versuche innerhalb einer Minute führen nicht zur Aufnahme in die Sperrliste.
Wenn die Brüder des Server aber nur 4 oder weniger Fehlversuche hinlegen, erfolgt kein Eintrag in die Sperrliste.
Als Benutzer kann ich übrigens problemlos auf das erkannte NAS zugreifen ! Auch vom Problemrechner, wenn er nicht gerade gesperrt ist.
Ich habe den Grenzwert der Fehlversucher innerhalb einer Minute jetzt mal auf 7 hochgesetzt und bin gespannt, was das ändert. Ganz selten hat ein Bruder des Servers auch mal so einen ungültigen Versuch hingelegt. Aber eben nur 1 Mal statt 5 Mal ... laut NAS-Protokoll .. und das führt natürlich nicht zu einer Sperre.
Gruss Walter
Hallo Cyces ! Na ja, da wurde nur die Funktion Terminalserver installiert + einige Standard-Anwendungssoftware (Office 2010) und der Mail-Client von DAVID, aber nix besonderes. Und nein: das QNAP war nie AD-verbunden. Ist auch nicht nötig und es gibt sowieso nur einen auf dem NAS berechtigten Benutzer: mich selbst, was den mit net use verbindbaren Teil anbelangt. Dazu gibt es noch eine iSCSI-Verbindung, aber nicht vom Problembär aus.
Grüsse Walter
Grüsse Walter
Danke für den Hinweis ! Aber ne, da ist nix installiert in diese Richtung.
Gruss Walter
Gruss Walter