1
Windows SRV 2008 SMB - User Logon am Exchange Server über Outlook schlägt nur an einem PC fehl. Alle anderen OK.
Hallo Forum,
wir betreiben ein kleines Netzwerk mit Windows SRV W2008 SMB als DC. Mails gehen über den integrierten Exchange Server.
Problem:
Ein PC (WIN 7 Prof.) im Netzwerk kann sich nicht mehr mit Outlook am Exchange Server (LAN Standard Protokoll) anmelden.
Alle anderen Anmeldungen (z.B. Laufwerksfreigaben etc.) klappen prima.
Mit identischen Einstellungen (UserID+ PW, Mail) an einem anderen PC im LAN (WIN 7 Prof) klappt es.
(alle PCs im LAN sind bzgl Outlook/Exchange Server identisch konfiguriert)
Der Fehler tritt erst seit der Installation eines Download Managers am betroffenen PC auf (haben wir natürlich wieder entfernt).
Ich vermute dass sich in den Netzwerkeinstellungen etwas geändert hat.
Um das Problem zu analysieren, habe ich die An/Abmeldungen am Server (Eventlog) protokolliert.
Ich habe eine erfolgreiche Anmeldung als auch die Fehlerhafte versucht zu analysieren.
Leider verstehe ich nicht so recht was vor sich geht...
Die erfolgreiche Anmeldung sie wie folgt aus (Details, siehe im Log unten):
Schritt 1) Protokoll: Security, ID: 4776, Überwachung gescheitert, Überprüfung der Anmeldinformationen
Schritt 2) Protokoll: Security, ID: 4625, Überwachung gescheitert, Anmelden
Schritt 3) Protokoll: Security, ID: 4776, Überwachung erfolgreich, Überprüfung der Anmeldinformationen
Schritt 4) Protokoll: Security, ID: 4624, Überwachung erfolgreich, Anmelden
Schritt 5) Protokoll: Security, ID: 4776, Überwachung erfolgreich, Überprüfung der Anmeldinformationen
Schritt 6) Protokoll: Security, ID: 4624, Überwachung erfolgreich, Anmelden
Frage dazu: wieso gehen einer erfolgreichen Anmeldung 2 gescheiterte Versuche voraus?
Die fehlerhafte Anmeldung sie wie folgt aus (Details, siehe im Log unten):
Schritt 1) Protokoll: Security, ID: 4672, Überwachung erfolgreich, spezielle Anmeldung
Schritt 2) Protokoll: Security, ID: 4624, Überwachung erfolgreich, Anmelden
Schritt 3) Protokoll: Security, ID: 4776, Überwachung gescheitert, Überprüfung der Anmeldinformationen
Schritt 4) Protokoll: Security, ID: 4625, Überwachung gescheitert, Fehler beim Anmelden des Kontos
Schritt 5) Protokoll: Security, ID: 4776, Überwachung gescheitert, Überprüfung der Anmeldinformationen
Schritt 6) Protokoll: Security, ID: 4625, Überwachung gescheitert, Fehler beim Anmelden des Kontos
Frage dazu: Der Anmeldevorgang sieht anders aus. Wieso gibt es hier eine Spezielle Anmeldung? Ich sehe auch eine Kerberos Authentifizierung.
Gruß
Wolfgam
Protokoll der fehlerhaften Anmeldung:
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:51
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: wm
Kontodomäne: BCC-SRV-W2008
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: WM
Quellnetzwerkadresse: 192.168.89.6
Quellport: 49501
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:51.015Z" />
<EventRecordID>80490793</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">BCC-SRV-W2008</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">WM</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.6</Data>
<Data Name="IpPort">49501</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:51
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: WM
Fehlercode: 0xc0000064
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:51.000Z" />
<EventRecordID>80490792</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">WM</Data>
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:47
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: wm
Kontodomäne: WM
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc000006a
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: WM
Quellnetzwerkadresse: 192.168.89.6
Quellport: 49500
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:47.312Z" />
<EventRecordID>80490791</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">WM</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">WM</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.6</Data>
<Data Name="IpPort">49500</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:47
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: WM
Fehlercode: 0xc000006a
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:47.312Z" />
<EventRecordID>80490790</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">WM</Data>
<Data Name="Status">0xc000006a</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:46
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: BCC-SRV-W2008$
Kontodomäne: BCC
Anmelde-ID: 0xbb51a6ba
Anmelde-GUID: {C55D07BB-0B56-59F9-B286-B392E69FE635}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: ::1
Quellport: 30248
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:46.484Z" />
<EventRecordID>80490789</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9032" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">BCC-SRV-W2008$</Data>
<Data Name="TargetDomainName">BCC</Data>
<Data Name="TargetLogonId">0xbb51a6ba</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{C55D07BB-0B56-59F9-B286-B392E69FE635}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">::1</Data>
<Data Name="IpPort">30248</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: "Microsoft-Windows-Security-Auditing"
Datum: 26.05.2011 09:50:46
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: BCC-SRV-W2008$
Kontodomäne: BCC
Anmelde-ID: 0xbb51a6ba
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:46.484Z" />
<EventRecordID>80490788</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9032" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">BCC-SRV-W2008$</Data>
<Data Name="SubjectDomainName">BCC</Data>
<Data Name="SubjectLogonId">0xbb51a6ba</Data>
<Data Name="PrivilegeList">SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege</Data>
</EventData>
</Event>
Protokoll der erfolgreichen Anmeldung:
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:51
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Neue Anmeldung:
Sicherheits-ID: BCC\wm
Kontoname: wm
Kontodomäne: BCC
Anmelde-ID: 0xbb0aa8bc
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname: BCC-BUERO-ACER
Quellnetzwerkadresse: 192.168.89.8
Quellport: 49305
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V2
Schlüssellänge: 128
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:51.031Z" />
<EventRecordID>80490603</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="1020" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-21-3095468367-2432452330-4217768669-1145</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">BCC</Data>
<Data Name="TargetLogonId">0xbb0aa8bc</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">BCC-BUERO-ACER</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">NTLM V2</Data>
<Data Name="KeyLength">128</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.8</Data>
<Data Name="IpPort">49305</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:51
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: BCC-BUERO-ACER
Fehlercode: 0x0
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:51.031Z" />
<EventRecordID>80490602</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="1020" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">BCC-BUERO-ACER</Data>
<Data Name="Status">0x0</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:50
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Neue Anmeldung:
Sicherheits-ID: BCC\wm
Kontoname: wm
Kontodomäne: BCC
Anmelde-ID: 0xbb0aa804
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname: BCC-BUERO-ACER
Quellnetzwerkadresse: 192.168.89.8
Quellport: 49304
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V2
Schlüssellänge: 128
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:50.531Z" />
<EventRecordID>80490601</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-21-3095468367-2432452330-4217768669-1145</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">BCC</Data>
<Data Name="TargetLogonId">0xbb0aa804</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">BCC-BUERO-ACER</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">NTLM V2</Data>
<Data Name="KeyLength">128</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.8</Data>
<Data Name="IpPort">49304</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:50
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: BCC-BUERO-ACER
Fehlercode: 0x0
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:50.531Z" />
<EventRecordID>80490600</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">BCC-BUERO-ACER</Data>
<Data Name="Status">0x0</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:41
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: WM
Kontodomäne: BCC-BUERO-ACER
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc000006a
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: BCC-BUERO-ACER
Quellnetzwerkadresse: 192.168.89.8
Quellport: 49303
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:41.468Z" />
<EventRecordID>80490599</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9008" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">WM</Data>
<Data Name="TargetDomainName">BCC-BUERO-ACER</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">BCC-BUERO-ACER</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.8</Data>
<Data Name="IpPort">49303</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:41
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: WM
Quellarbeitsstation: BCC-BUERO-ACER
Fehlercode: 0xc000006a
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:41.468Z" />
<EventRecordID>80490598</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9008" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">WM</Data>
<Data Name="Workstation">BCC-BUERO-ACER</Data>
<Data Name="Status">0xc000006a</Data>
</EventData>
</Event>
Problem:
Ein PC (WIN 7 Prof.) im Netzwerk kann sich nicht mehr mit Outlook am Exchange Server (LAN Standard Protokoll) anmelden.
Alle anderen Anmeldungen (z.B. Laufwerksfreigaben etc.) klappen prima.
Mit identischen Einstellungen (UserID+ PW, Mail) an einem anderen PC im LAN (WIN 7 Prof) klappt es.
(alle PCs im LAN sind bzgl Outlook/Exchange Server identisch konfiguriert)
Der Fehler tritt erst seit der Installation eines Download Managers am betroffenen PC auf (haben wir natürlich wieder entfernt).
Ich vermute dass sich in den Netzwerkeinstellungen etwas geändert hat.
Um das Problem zu analysieren, habe ich die An/Abmeldungen am Server (Eventlog) protokolliert.
Ich habe eine erfolgreiche Anmeldung als auch die Fehlerhafte versucht zu analysieren.
Leider verstehe ich nicht so recht was vor sich geht...
Die erfolgreiche Anmeldung sie wie folgt aus (Details, siehe im Log unten):
Schritt 1) Protokoll: Security, ID: 4776, Überwachung gescheitert, Überprüfung der Anmeldinformationen
Schritt 2) Protokoll: Security, ID: 4625, Überwachung gescheitert, Anmelden
Schritt 3) Protokoll: Security, ID: 4776, Überwachung erfolgreich, Überprüfung der Anmeldinformationen
Schritt 4) Protokoll: Security, ID: 4624, Überwachung erfolgreich, Anmelden
Schritt 5) Protokoll: Security, ID: 4776, Überwachung erfolgreich, Überprüfung der Anmeldinformationen
Schritt 6) Protokoll: Security, ID: 4624, Überwachung erfolgreich, Anmelden
Frage dazu: wieso gehen einer erfolgreichen Anmeldung 2 gescheiterte Versuche voraus?
Die fehlerhafte Anmeldung sie wie folgt aus (Details, siehe im Log unten):
Schritt 1) Protokoll: Security, ID: 4672, Überwachung erfolgreich, spezielle Anmeldung
Schritt 2) Protokoll: Security, ID: 4624, Überwachung erfolgreich, Anmelden
Schritt 3) Protokoll: Security, ID: 4776, Überwachung gescheitert, Überprüfung der Anmeldinformationen
Schritt 4) Protokoll: Security, ID: 4625, Überwachung gescheitert, Fehler beim Anmelden des Kontos
Schritt 5) Protokoll: Security, ID: 4776, Überwachung gescheitert, Überprüfung der Anmeldinformationen
Schritt 6) Protokoll: Security, ID: 4625, Überwachung gescheitert, Fehler beim Anmelden des Kontos
Frage dazu: Der Anmeldevorgang sieht anders aus. Wieso gibt es hier eine Spezielle Anmeldung? Ich sehe auch eine Kerberos Authentifizierung.
Gruß
Wolfgam
Protokoll der fehlerhaften Anmeldung:
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:51
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: wm
Kontodomäne: BCC-SRV-W2008
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: WM
Quellnetzwerkadresse: 192.168.89.6
Quellport: 49501
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:51.015Z" />
<EventRecordID>80490793</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">BCC-SRV-W2008</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">WM</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.6</Data>
<Data Name="IpPort">49501</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:51
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: WM
Fehlercode: 0xc0000064
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:51.000Z" />
<EventRecordID>80490792</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">WM</Data>
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:47
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: wm
Kontodomäne: WM
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc000006a
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: WM
Quellnetzwerkadresse: 192.168.89.6
Quellport: 49500
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:47.312Z" />
<EventRecordID>80490791</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">WM</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">WM</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.6</Data>
<Data Name="IpPort">49500</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:47
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: WM
Fehlercode: 0xc000006a
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:47.312Z" />
<EventRecordID>80490790</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">WM</Data>
<Data Name="Status">0xc000006a</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:46
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: BCC-SRV-W2008$
Kontodomäne: BCC
Anmelde-ID: 0xbb51a6ba
Anmelde-GUID: {C55D07BB-0B56-59F9-B286-B392E69FE635}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: ::1
Quellport: 30248
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:46.484Z" />
<EventRecordID>80490789</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9032" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">BCC-SRV-W2008$</Data>
<Data Name="TargetDomainName">BCC</Data>
<Data Name="TargetLogonId">0xbb51a6ba</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{C55D07BB-0B56-59F9-B286-B392E69FE635}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">::1</Data>
<Data Name="IpPort">30248</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: "Microsoft-Windows-Security-Auditing"
Datum: 26.05.2011 09:50:46
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: BCC-SRV-W2008$
Kontodomäne: BCC
Anmelde-ID: 0xbb51a6ba
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:46.484Z" />
<EventRecordID>80490788</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9032" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">BCC-SRV-W2008$</Data>
<Data Name="SubjectDomainName">BCC</Data>
<Data Name="SubjectLogonId">0xbb51a6ba</Data>
<Data Name="PrivilegeList">SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege</Data>
</EventData>
</Event>
Protokoll der erfolgreichen Anmeldung:
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:51
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Neue Anmeldung:
Sicherheits-ID: BCC\wm
Kontoname: wm
Kontodomäne: BCC
Anmelde-ID: 0xbb0aa8bc
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname: BCC-BUERO-ACER
Quellnetzwerkadresse: 192.168.89.8
Quellport: 49305
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V2
Schlüssellänge: 128
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:51.031Z" />
<EventRecordID>80490603</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="1020" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-21-3095468367-2432452330-4217768669-1145</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">BCC</Data>
<Data Name="TargetLogonId">0xbb0aa8bc</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">BCC-BUERO-ACER</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">NTLM V2</Data>
<Data Name="KeyLength">128</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.8</Data>
<Data Name="IpPort">49305</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:51
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: BCC-BUERO-ACER
Fehlercode: 0x0
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:51.031Z" />
<EventRecordID>80490602</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="1020" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">BCC-BUERO-ACER</Data>
<Data Name="Status">0x0</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:50
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Neue Anmeldung:
Sicherheits-ID: BCC\wm
Kontoname: wm
Kontodomäne: BCC
Anmelde-ID: 0xbb0aa804
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname: BCC-BUERO-ACER
Quellnetzwerkadresse: 192.168.89.8
Quellport: 49304
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V2
Schlüssellänge: 128
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:50.531Z" />
<EventRecordID>80490601</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-21-3095468367-2432452330-4217768669-1145</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">BCC</Data>
<Data Name="TargetLogonId">0xbb0aa804</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">BCC-BUERO-ACER</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">NTLM V2</Data>
<Data Name="KeyLength">128</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.8</Data>
<Data Name="IpPort">49304</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:50
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: BCC-BUERO-ACER
Fehlercode: 0x0
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:50.531Z" />
<EventRecordID>80490600</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">BCC-BUERO-ACER</Data>
<Data Name="Status">0x0</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:41
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: WM
Kontodomäne: BCC-BUERO-ACER
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc000006a
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: BCC-BUERO-ACER
Quellnetzwerkadresse: 192.168.89.8
Quellport: 49303
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:41.468Z" />
<EventRecordID>80490599</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9008" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">WM</Data>
<Data Name="TargetDomainName">BCC-BUERO-ACER</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">BCC-BUERO-ACER</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.8</Data>
<Data Name="IpPort">49303</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:41
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: WM
Quellarbeitsstation: BCC-BUERO-ACER
Fehlercode: 0xc000006a
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:41.468Z" />
<EventRecordID>80490598</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9008" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">WM</Data>
<Data Name="Workstation">BCC-BUERO-ACER</Data>
<Data Name="Status">0xc000006a</Data>
</EventData>
</Event>
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 166950
Url: https://administrator.de/contentid/166950
Printed on: April 23, 2024 at 22:04 o'clock
1 Comment
Erst die banale Frage. Schon versucht den betroffenen Rechner aus der Domain zu entfernen und dann weider aufzunehmen?
Grüße
mpmichael
Grüße
mpmichael
