Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sekundenweise wird auf XP Server 2003 Event id 538 und 540 aufgeführt

Mitglied: Fehma

Fehma (Level 1) - Jetzt verbinden

08.04.2005, aktualisiert 21.03.2007, 14916 Aufrufe, 9 Kommentare

538 = An und Abmeldung Event
540 = An und Abmeldung Event

Hallo ,

langsam verzweifele ich. Wir haben hier ein Netzwerk mit XP Server 2003 und bekommen im Security Event Log immer alle paar Sekunden die Event ID's 538 und 540 angezeigt. Leider finde ich nirgends Hilfe, warum diese Events so oft angezeigt werden.

Kann mir da jemand weiterhelfen ???

Danke
M.
Mitglied: garciam
08.04.2005 um 19:42 Uhr
schon auf www.eventid.net nachgeschaut?


Gruss
Bitte warten ..
Mitglied: 10545
09.04.2005 um 08:59 Uhr
Hallo Fehma,

diese ID´s zeichnen Logon und Logoffs von Net-Users auf.

Siehe
http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/m ...

Leider finde ich nirgends Hilfe, warum diese Events so oft angezeigt werden.
Kann ich mir gar nicht vorstellen ? ich habe ca. 2 Sekunden benötigt

Gruß, Rene
Bitte warten ..
Mitglied: fritzo
09.04.2005 um 18:39 Uhr
Um's kurz zu machen:

http://www.eventid.net/display.asp?eventid=538&eventno=7&source ...
http://www.eventid.net/display.asp?eventid=540&eventno=9&source ...

Entweder ist das behaviour as expected - das würde bedingen, daß Ihr sehr ausführliches Logging betreibt. Falls ja und es stört, dann stellt in den Policies das Logging so ein, daß nicht mehr jede Anmeldung geloggt wird, sondern evtl. nur noch die fehlerhaften.

Zweite Möglichkeit - es ist ein Fehler, der durch abgelaufene Benutzer- oder Maschinenkonten entsteht, die noch irgendwo angemeldet sind und versuchen, auf Ressourcen zuzugreifen. Versuch, die SID oder den Kontonamen herauszufinden und dann die entsprechende Workstation zuzuordnen - dann schau auf dieser WS nach, was dort an Verbindungen etc. gesetzt ist.

Dritte Möglichkeit - eine schlecht programmierte Anwendung, die ein sog. "Token Leak" verursacht, siehe dazu die Beschreibung zu Event 538 auf http://www.eventid.net

Grüße,
fritzo
Bitte warten ..
Mitglied: Fehma
09.04.2005 um 19:47 Uhr
Hallo,

vielen Dank für die Antworten.

Nun ja, rausfinden was die Event ID's bedeuten ist und war nicht das Problem.... aber !!!!
mein problem ist , das es kein Expected Behavoir ist. Kann ich mir nicht vorstellen, das alle 2 Sekunden ein Eintrag in den SecurityLog im Server eingetragen wird.

Ich kann mir auch nicht vorstellen, das dies bei einer normalen Anwendung so oft ( alle 2 Sekunden ) gemacht wird. Normalerweise meldet man sich an in das war es.....

Kann es an kaputten Ethernet Verkabelungen liegen, die ausfälle haben ??
Ich befürchte das das ethernet nicht richtig funktioniert... wollte aber sichergehen...

Gruß

M
Bitte warten ..
Mitglied: fritzo
10.04.2005 um 04:01 Uhr
Nun ja, rausfinden was die Event ID's bedeuten ist und war nicht das Problem.... aber !!!!

Hast Du die Postings gelesen und geprüft, ob dem evtl. so sein könnte? Bitte geh erstmal auf die Postings ein.

mein problem ist , das es kein Expected Behavoir ist. Kann ich mir nicht vorstellen,
das alle 2 Sekunden ein Eintrag in den SecurityLog im Server eingetragen wird.

jenachdem, wieviele Benutzer dran hängen, ist das schon möglich. Es kann aber auch ein fehlerhaft konfigurierter Dienstaccount sein.

Kann es an kaputten Ethernet Verkabelungen liegen, die ausfälle haben ??
Ich befürchte das das ethernet nicht richtig funktioniert... wollte aber
sichergehen...

Ich kann das zwar nicht rundweg ausschließen, es ist aber eher sehr unwahrscheinlich. 538 und 540 sind keine Fehler- sondern nur Hinweismeldungen - ergo weist das nicht auf Fehler im Netzwerk hin, sondern eher auf Fehler bzw. ein Zuviel-des-Guten bei der Konfiguration Eurer Überwachung. Prüf einfach mal die Einstellungen in Euren Policies unter Computerkonfiguration / Sicherheitseinstellungen / Überwachungsrichtlinien - poste evtl. mal, was dort an Flags gesetzt ist, dann kann man besser beurteilen, ob es als normal anzusehen ist oder nicht.
Bitte warten ..
Mitglied: Fehma
26.04.2005 um 09:39 Uhr
Hallo,

erst einmal vielen Dank für die schnellen Antworten.

Es war in der Tat eine Kaputte Dose.... Die hat dieses ganzes Durcheinander erzeugt.
Ich danke euch....

Marcus
Bitte warten ..
Mitglied: fritzo
26.04.2005 um 20:20 Uhr
that much about fishing in murky waters
Bitte warten ..
Mitglied: fritzo
26.04.2005 um 20:22 Uhr
--- FILE CLOSED ---


Grüße,
fritzo
Bitte warten ..
Mitglied: GrEEnbYte
21.03.2007 um 10:16 Uhr
Hallo habe das gleiche Problem
Manchmal werden user auf clients nur mit einem lokalen Profil verbunden (und nicht dem servergespeicherten). Beim nächsten Anmelden klappts dann wieder…. Evtl hängts mit den vielen An/Abmeldungen zusammen?? Ich würde das Problem daher gern lösen.
Das Problem der vielen An/Abmelde einträge wurde in diesem Forum schon mehrfach angesprochen, aber leider ohne endgültige Lösung und .
Ich würde gern wissen, wie die Leute die die das Problem hatten damit umgehen. Ignorieren?? Über eine Antwort würd ich mich freuen
MIchael
Bitte warten ..
Ähnliche Inhalte
Windows Server
Event ID 78
Frage von rocco61Windows Server1 Kommentar

Guten Morgen zusammen, habe auf dem Server 2012 R2 eine sidebyside Fehlermeldung, event id 78. Bei eventid.net werde ich ...

Windows Server
Event ID 10016
gelöst Frage von Data61Windows Server2 Kommentare

Hallo zusammen, habe seit einigen Tagen die Event ID 10016 im Protokoll auf dem 2012 r2 Server. Microsoft schreibt ...

Exchange Server
Event ID 1023 "MSExchangeIS"
Frage von 125674Exchange Server5 Kommentare

Guten Abend. seit neuerdem taucht diese Ereignismeldung auf: Leider finde ich in google nichts was funktionierte. habt ihr ähnliche ...

Papierkorb

Event ID 4231 - keine Verbindungen zu einem Server möglich

Tipp von geocastPapierkorb1 Kommentar

Da ich das Probleme lange hatte und auch hier im Forum welche gefunden habe mit dem gleichen Problem, dachte ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 TagHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++27 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless22 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL19 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...