Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

EventLog-ID 4625

Frage Microsoft

Mitglied: AliasSebbo

AliasSebbo (Level 1) - Jetzt verbinden

18.03.2014, aktualisiert 24.03.2014, 11156 Aufrufe, 19 Kommentare, 6 Danke

Hallo Administrator.de-Gemeinde,

wir haben bei einem Kunden schon seit längerem das Problem, das die Ereignisanzeige vollgeschrieben wird mit der Event-Log ID 4625 (unbekannter Benutzer oder falsches Kennwort).
Diese "fälschliche" Benutzeranmeldung kommt aus dem internen Netzwerk = LogonID 3, und das teilweise im Sekunden und Minutentakt.

Was mir sofort aufgefallen ist, es sind jedesmal andere Arbeitsplatz-PC's die hier verzeichnet werden.
Teilweise wird versucht sich "Administrator" an der Domäne anzumelden aber auch User, bzw. wird auch immer mal versucht sich lokal anzumelden was auch fehlschlägt, aber nicht weiterkommt da warscheinlich das Kennwort nicht passt!?

Wir haben ca. 5 PC's neu installiert und konfiguriert (zumindest die, die am meisten von diesen "Fehlern" produziert haben). Komischerweise fallen diese Neukonfigurierten Arbeitsplatz-PC's jetzt nicht mehr auf!?
Desweiteren haben wir einen Test-PC installiert und am Netzwerk angeschlossen + AD-Anbindung, dieser "DUMMY-PC" protokollierte jetzt sogar selber (lokal) das andere PC's sich darauf authentifzieren wollten (ID4625). Ebenfalls als Administrator.

Am liebsten würde ich das gerne mit allen PC's machen lassen, aber es handelt sich hierbei um ca. 100PC's wenn nicht sogar mehr und da könnt ich den Mitarbeiter das ganze Jahr abstellen nur um PC's zu installieren was nicht gerade wirtschaftlich ist.

Heute habe ich versucht mich absichtlich mit falschen Benutzerdaten (Falscher Benutzer, falsches Kennwort in verschiedenen Kombinationen) anzumelden. Es wurde auch recht erfolgreich lokal am PC sowie am DC-Server protokolliert, konnte aber leider die ID4625 dadurch nicht generieren. Auch der fälschliche Zugriff auf Netzwerkfreigaben hat nicht die ID4625 ausgegeben.

Jetzt meine Frage: Was generiert die ID4625? Wie kommt dieses zustande?

Meine Überlegung war, das wohl irgendein Dienst auf einigen PC's läuft der diesen Fehler am Server generieren lässt, oder evtl. sogar bösartige Software, da die Zugriffe mehrmals in der Sekunde stattfinden und dazu auch noch mehrere Ports durchprobiert werden.

z.B. die IP 192.168.168.122 versucht sich über 35 verschiedene Ports innerhalb von 1-2 Sekunden an der Domäne und/oder lokal mit Administrator und/oder User anzumelden und generiert dabei die ID4625.

Leider kann ich physisch nicht auf die PC's zugreifen, da diese alle samt Server im Ausland stehen.

Ebenfalls vorhanden (wie im Text ja steht) ist ein Server mit MS-Server2008 (ohne R2) mit AD und DNS und die meisten Arbeitsplatz PC's sind mit Win7 ausgestattet.

Zwischenzeitlich habe ich auch mal einen Netzwerk-Sniffer mitlaufen lassen um evtl zu sehen wer oder was nach draußen telefoniert. Aber auch hier war nichts Auffälliges. Es muss sich also um ein internes Problem handeln (nehm ich mal an), da sich in den Event-Logs nur interne IP's wiederfinden.

Ich hoffe Ihr könnt mir/uns helfen!

Vielen lieben Dank schonmal!

Mit freundlichen Grüßen

Mitglied: Jannis92
18.03.2014, aktualisiert um 19:48 Uhr
Hey AliasSebbo,
was ist das für ein Server, auf dem die Logs generiert werden?
Also welche Funktion hat er?

Und wie sind die fünf neu eingerichteten Rechner ausgestattet? Selbe Software wie
die anderen 100 Clients, hat jeder Client eine unterschiedliche Software?

Kannst du das Problem auf ein bestimmten Zeitraum beschränken?
Es muss ja einen Zeitpunkt geben, wo evlt. alle 100 Clients aufmal angefangen haben, diese Fehlermeldung zu produzieren.
Könnte evlt. mit Updates zusammenhängen...

Wurden die Clients mal auf Schadsoftware überprüft?!
Bitte warten ..
Mitglied: AliasSebbo
19.03.2014, aktualisiert um 10:08 Uhr
Hallo Jannis92,

erstmal Danke für die schnelle Antwort

Zum Server:

- Microsoft Windows Server 2008,
- Domain Controller mit Active Directory
- DNS-Server
- File Services sind installiert
- Microsoft SQL Server 2008
- Microsoft Dynamics NAV 2009 R2

Software - TeamViewer 9 Host (von uns), Advanced Monitoring Agent+Antivirus (von uns)

Das sind soweit die Dienste/Rollen etc. wo darauf laufen.
Jetzt zu den 5 Rechnern:

Ausstattung:

- Microsoft Dynamics NAV 2009 Classic
- TeamViewer 9 Host (von uns), Advanced Monitoring Agent+Antivirus (von uns)
- und noch eins/zwei Warenwirtschaftsprogramme
(- manche PC's davon besitzen auch eine CAD-Software)
Zum Zeitraum:

jaein, ich kann nur so viel sagen, das die Log's erst nach Arbeitszeitbeginn anfangen, also sobald die PC's
eingeschaltet werden (08:00) bis Ende (18:00).

Der Zugriffsintervall ist total unterschiedlich. Mal stundenlang gar nichts und dann in der Sekunde 5-8 Zugriffsversuche
von einer IP-Adresse über verschiedene Ports und das alle 5 Minuten.

Zum Beispiel:
-> 09:45:15 IP 192.168.168.222:5008 (ID4625)
09:45:15 IP 192.168.168.222:5013 (ID4625)
09:45:15 IP 192.168.168.222:5018 (ID4625)
09:45:15 IP 192.168.168.222:5023 (ID4625)
09:45:15 IP 192.168.168.222:5028 (ID4625)
09:45:15 IP 192.16...................... (ID4625)
-> 09:50:15 IP 192.168.168.222:5118 (ID4625)
09:50:15 IP 192.16..................... (ID4625)

und dann dauert es wieder ca. 5 Minuten und der ganze Spaß geht weiter (Die Ports sind natürlich jetz ausm Kopf
frei "erfunden", is nur zur veranschaulichung Zwecks dem Schematischen vorgehen)

Es ist nicht so das ALLE Clients aufeinmal anfangen diesen Fehler zu produzieren. Es sind meistens immer nur
ein paar PC's (recht unterschiedlich), wir lassen dann diese PC's neuinstallieren und das Problem ist erledigt.
Allerdings nach 2 Tagen fängt dafür wieder ein ganz anderer an, der vorher überhaupt keinen Fehler produziert hat.

Ich hatte mal auf dem Server HijackThis laufen und konnte hier nichts finden. Auf den Clients hab ich es noch nicht
testen können, da ich hier leider auch nicht über TeamViewer drauf komm noch physisch an die Geräte rankomm
da diese wie schon gesagt im Ausland stehen. Wir haben nur vom Kunden einen "Techniker" vor Ort der anfallende
Aufgaben erledigen kann.

Die Clients hatten alle vorher den Kasperky-Antivirus installiert, dieser wurde durch unseren Monitoring-Agenten+Antivirus
ersetzt (zumindest bei einigen die überwacht werden)
Dabei musste ich feststellen das einer dieser Clients über 800 Viren/Trojaner was auch immer im Container vom Antivurs hat,
was ich verdächtig viel finde

Momentan ist kurzzeitig wieder Ruhe eingekehrt. Es ist aber nur eine Frage der Zeit bis der nächste Auftaucht.

Vielen lieben Dank für die Hilfe
Bitte warten ..
Mitglied: AliasSebbo
19.03.2014 um 10:43 Uhr
UPDATE!

Mittlerweile bekomm ich von einem anderen Server der im Netzwer hängt, genau die selben Event-Logs mit der ID4625 mit dem selben schematischen Vorgehen

Hier mal ein kurzer Auszug:

An account failed to log on.

Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name: WIN-D4RNGR00R4N
Account Domain: *Domain-Name*(ausgeblendet)

Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064

Process Information:
Caller Process ID: 0x0
Caller Process Name: -

Network Information:
Workstation Name: WIN-D4RNGR00R4N
Source Network Address: 192.168.168.75
Source Port: 49421

Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Bitte warten ..
Mitglied: AliasSebbo
19.03.2014 um 10:46 Uhr
Sowie die Event-ID mit diesem Inhalt

An account failed to log on.

Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: CPDW7JAYASANTHA

Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc000006a

Process Information:
Caller Process ID: 0x0
Caller Process Name: -

Network Information:
Workstation Name: CPDW7JAYASANTHA
Source Network Address: 192.168.168.95
Source Port: 49434

Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Bitte warten ..
Mitglied: AliasSebbo
19.03.2014 um 11:05 Uhr
Und auf dem sogenannten DUMMY-PC hier NetBIOS = CPDW7DUMMY folgendes Ereigniss ID4625

An diesem PC sitzt kein Mitarbeiter (sollte zumindest), der PC steht einfach nur in der "Gegend" rum
und ist für unsere "Ermittlungszwecke" und "Testzwecke" da.

An account failed to log on.

Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: *Domain-Name*

Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc000006a

Process Information:
Caller Process ID: 0x0
Caller Process Name: -

Network Information:
Workstation Name: CPDW7DUMMY
Source Network Address: fe80::2db4:5c8b:350e:fc6f
Source Port: 49393

Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Bitte warten ..
Mitglied: layer8slayer
19.03.2014 um 11:43 Uhr
Hi,
hast du vor kurzem dein Admin-Passwort gewechselt und vielleicht gibt es auf irgendeinem deiner Server einen Dienst/Task der noch das Admin-Konto mit dem alten Passwort verwendet?

Gruß

l8s
Bitte warten ..
Mitglied: AliasSebbo
19.03.2014 um 15:41 Uhr
Hi layer8slayer,

das Admin-Passwort ist schon seit längerem nicht mehr geändert worden. Und die Kennwörter für Progs die evtl. Adminrechte benötigen wurden angeblich schon überprüft bzw. auf das jetzige angepasst (falls doch was falsches drinstehen sollte), aber das hat leider nichts gebracht.

LG
Bitte warten ..
Mitglied: layer8slayer
19.03.2014, aktualisiert um 16:28 Uhr
Hey,
das wäre auch zu einfach ;)

Benutzen die User zufällig Smartcards zum Einloggen?


Also du bist dir sicher, dass alle Anfragen von Intern kommen? Weil bei der Protokollierung immer verschiedene Statusfehlercodes auftauchen:

0xC0000064 steht für user name does not exist

0xC000006A steht für user name is correct but the password is wrong

Für mich sieht es nach einem Angriff aus, bzw. ein Kollege von dir testet dich ;)

Laut Google kann es - wie immer bei Mikroschrott - alles mögliche sein bei dieser ID

Schau mal zur Info:

http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...

Gruß
l8s
Bitte warten ..
Mitglied: AliasSebbo
19.03.2014 um 16:53 Uhr
Hey layer8slayer,

nein die User verwenden keine Smartcards, da funktioniert das noch ganz normal über Benutzer und Kennwort

nach der Status-ID und Substatus-ID hab ich auch schon in der von dir geannten Site gesucht und bin auch auf das selbe Ergebnis gekommen.

Ich hab mir schon wirklich Stunden/Tage den Kopf darüber zerbrochen woher das kommt und bin daran verzweifelt
Kann mir nicht vorstellen das diese "Angriffe" von aussen kommen, weil dann würde es ja bedeuten das die Firewall die nach dem Modem kommt nix taugt.

Das ein Kollege von mir mich testen möchte kann ich mir nicht vorstellen, da ich mein eigener Kollege bin

Der "Techniker" vor Ort beim Kunden ist dessen Mitarbeiter der nur eins-zwei Aufgaben übernimmt aber leider keine gelernte Fachkraft ist und auch die IT-Unternehmen in diesem Land sind sehr fragwürdig, da diese gerne versuchen Pfusch zu vertuschen, deswegen sollen wir jetzt versuchen die IT von DE aus in den Griff zu bekommen.

Der Gedanke stand im Raum, ob den unser Monitoring-Agent diese Meldung verursacht. Aber davon sind wir wieder abgekommen, da es ja bei anderen Kunden auch auffallen würde, und ein Monitoring das selbst Hackerangriffe verursacht wäre ganz schön kontraproduktiv.

Mir und unserem Kunden gehen so langsam die Ideen aus
(Viell. doch einen PC nach dem anderen neu installieren? Gefahr ist, das dieser Vorgang auch kontraproduktiv enden könnte, da wir nicht wissen wo der Fehler herkommt und evtl. diese PC's früher oder später wieder damit behaftet sind)

LG
Bitte warten ..
Mitglied: layer8slayer
19.03.2014, aktualisiert um 17:08 Uhr
Hey,
also Neuinstallation bringt doch auch nichts. Du hast doch geschrieben, dass "frische" Clients es dann auch nach kurzer Zeit machen.

Was mich noch stutzig macht, ist die Info, dass es um NTLM geht. Ich kenne mich da auch nicht so aus, aber NTLM soll der Vorgänger von Kerberos sein und nach win 2000 eigentlcih nicht mehr im Einsatz sein sollte. Wenn aber Kerberos nicht funktioniert, soll als Backup das NTLM herhalten. Da habe ich zwei Ideen:
1. Wenn Kerberos nicht funktioniert würde ich mich als erstes um die Uhrzeiten in der Domäne kümmern. Gibt es da Abweichungen?
2. Kann man das NTLM nicht komplett abschalten, damit diese Fehlermeldung nicht auftaucht?

Sonst weiß ich auch nicht weiter ;)

Gruß
l8s
Bitte warten ..
Mitglied: AliasSebbo
19.03.2014 um 17:31 Uhr
Hallo,

was den NTLM angeht bin ich mir auch ned soooo 100% sicher ^.^ aber abschalten möcht ich des auch nicht unbedingt (sofern es überhaupt funktioniert) da ich nicht weiß ob noch XP-Clients im Netz hängen die evtl. Kerberos nicht unterstützen?!

Meinst du die Zeitsynchronisation mit dem Domänen-Controller? Wie kann ich die überprüfen, gibt es dazu Tools? Wie schon gesagt, ich komm leider über Team Viewer nicht auf die Clients (nur auf diesen DUMMY-PC und Server).
Ich könnte zwar den "Techniker" vor Ort damit beauftragen, aber bis dieser reagiert vergehen 3 Tage oder mehr, da dieser so schon versucht alles am laufen zu halten

Vielen Dank für deine Hilfe! Ich werde mir aber aufjedenfall mir nochmal diese NTLM Geschichte zugemüte führen, da ich diesen Ansatz bisher noch nicht verfolgt habe und mir auch keine Gedanken darüber gemacht habe. Danke nochmal!

LG
Bitte warten ..
Mitglied: layer8slayer
19.03.2014 um 18:02 Uhr
Hey,

ja ich meine die Zeitsync mit dem DC.
Manuelle Zeitsync mit "net Stop w32time" "w32time -update" "net Start w32time" auf der cmd.

Der DummyPC läuft doch nicht mit XP! Also warum klappt dann Kerberos nicht?

Kein Ding. Ich hoffe, dass du es löst und uns deine Lösung mitteilst


Gruß

l8s
Bitte warten ..
Mitglied: AliasSebbo
19.03.2014 um 18:14 Uhr
Hallöle,

hey supi! Das werde ich dann morgen gleich mal ausprobieren.
Ja der Dummy-PC läuft mit Win7. Ich muss das mal nachverfolgen (aber heut nicht mehr, mach jetzt Feierabend ^.^ )

Klar, werde auch mal meine einzelnen Schritte zum Thema mitteilen. Vielleicht finden sich noch weitere Lösungsansätze.

Aber jetzt erstmal das ausprobieren. Wenn es wirklich DAS war, dann hüpf ich erstmal vor Freude hier im Kreis und schlage paar Purzelbäume xD

LG
Bitte warten ..
Mitglied: AliasSebbo
20.03.2014, aktualisiert um 09:08 Uhr
Hey ho!

bin jetzt auf folgende Event ID gestoßen, wo evtl. auf ein Kerberos Problem hindeutet.

Hab hier die EventID 4769 mit folgenden Fehlertext bei exakt den selben PC's die die ID 4625 generieren.

A Kerberos service ticket was requested. Account Information: Account Name: CPDW7DUMMY$@*Domäne* Account Domain: *Domäne* Logon GUID: {00000000-0000-0000-0000-000000000000} Service Information: Service Name: krbtgt/*Domäne* Service ID: NULL SID Network Information: Client Address: ::ffff:192.168.168.192 Client Port: 51882 Additional Information: Ticket Options: 0x60810010 Ticket Encryption Type: 0xffffffff Failure Code: 0xe Transited Services: - This event is generated ev...

Hier ist sogar der DUMMY-PC mit dabei.


Und dieser Failure Code:

0xE KDC has no support for encryption type
Bitte warten ..
Mitglied: AliasSebbo
20.03.2014 um 16:08 Uhr
Hallo nochmal,

hab heut das mit der manuellen Zeitsync ausprobiert. Und auch mal die Zeiten verglichen.
Die Zeiten zwischen DUMMY und AD-Server stimmen auf die Sekunde genau überein.
Der Dummy wurde aber auch am AD-Server nicht negativ protokolliert.

Aber was Problem im Netzwerk ist, ist die Kerberos-Authentifzierung. Ich hab da zwar was bei Microsoft gefunden und auch dementsprechend in den Richtlinien gesetzt, hat allerdings gar nichts gebracht. (DES, SAE Verschlüsselung etc.) Hab die Richtlinie wieder entfernt, da "gpupdate /force" mit Fehlermeldungen abgebrochen wurde (konnte eine gewisse gpt.ini nicht laden) Nachdem ich die Richtlinie entfernt hatte, funktionierte "gpupdate" auch wieder. Allerdings werden trotz gpupdate andere Regeln trotzdem nicht übernommen die ich gesetzt habe?! Hat das was zu bedeuten?

Ich habe heute versucht die ID4625 durch eine Fehlerhafte interaktive Benutzeranmeldung hervorzurufen. Leider wurde auch hier nichts dergleichen protokolliert. Woher kommt jetzt diese ID4625?
Ich werd noch wahnsinnig!

Und warum ist davon nicht nur der AD-Server betroffen sondern die Clients auch (warum protokollieren die Clients ->lokal<- ebenfalls den Fehler 4625?)

Ich weis es ist sehr schwer zu verstehen was hier vorgeht, da ich selber unheimlich auf dem Schlauch steh!!!!

Um es kurz mal zu erläutern.

Domäne: test.local

Server:
- Server01 (prim. AD) IP 192.168.168.100
- Server02 (sek. AD) IP 192.168.168.101

Clients:
- Client01 IP192.168.168.1
- Client02 IP192.168.168.2
- Client03 IP192.168.168.3
- Client04,05,06,07,08,09,10 IP192.168.168.4, usw.
- DUMMY-PC IP192.168.168.11


Client01,03,04,07 generieren am Server01 jeweils mit der eigenen IP die EventID4625 nach dem obig beschrieben Schema, während die restlichen PC's in keinster weiße auffalen (Wenn also ein Netzwerkübergreifendes Kerberos-Problem vorliegen würde, müsste es dann nicht gleichermaßen ALLE Clients betreffen?)

Client01,03 wurden neuinstalliert. Seitdem fallen diese zwei PC's nicht mehr auf. Dafür kommen dann 2-3 Tage später Client05,06,09 dazu, ebenfalls mit der ID4625. Warum machen die so etwas, wo die vorher NIE aufgefallen sind. Auch diese werden neu installiert und fallen erstmal nicht mehr auf.

Nach 4 Wochen ist der Client01 evtl. noch Client03 wieder dabei und so geht das seit keine Ahnung wie lange(hab aufgehört die Monate zu zählen).

Das alles wird am Server01 protokolliert! Nicht am Server02?!

Server02 protokolliert zwar auch ab und an die ID4625, aber hier nur recht geringfügig.
Es existieren zwar noch mehr Server (z.B. Fileserver) aber die fallen auch nicht auf, ausser heute! Heute wurde auch hier die ID4652 verzeichnet?!?!?

Ja und es hört nicht auf!

Sogar die Clients selber sind lokal von dieser Plage betroffen. Mittlerweile wird auch hier im Logbuch die ID4625 verzeichnet allerdings von anderen Clients.
Client10 meldet sich mit richtigen benutzer an, aber mit falschen kennwort, wird am DUMMY-PC verzeichnet.

Um Himmelswillen! Was ist da los!?



Danke nochmal für eure Hilfe
Bitte warten ..
Mitglied: Jannis92
LÖSUNG 20.03.2014, aktualisiert 24.03.2014
Hey,
Was du evtl noch einmal probieren könntest wäre whireshark laufen zu lassen, bis solch
Eine Event id generiert wird. Da bei der event id eine zeit angegeben wird, kannst du dann schauen,
Was in dem Zeitraum bei deinem Server angefragt hat.

Hätte ich jetzt mal ausprobiert, um ein bisschen mehr infos zu erhalten, was zu der zeit, wo der
Fehler geloggt wurde, bei meinem Server angekommen ist.

Ansonsten habe ich so jetzt auch keine Idee.
Hier könntest du auch noch einmal gucken:
http://community.spiceworks.com/topic/386033-hundreds-of-4625-errors-on ...
Bitte warten ..
Mitglied: AliasSebbo
21.03.2014, aktualisiert um 09:53 Uhr
Guten Morgen Jannis92,

das mit Wireshark ist eine sehr gute Idee, ich muss mal schauen wie ich das bewerkstelligen kann das man mich nicht aus der Benutzeranmeldung rausschmeißt (Server steht ja wie schon gesagt im Ausland) und der verantwortliche Mitarbeiter vom Kunden meldet sich auch des Öfteren als Admin am Server an.

Evtl. leg ich mal einen neuen User mit Adminrechten an.

Werde mich wieder melden, wenn mir was aufgefallen ist.

Danke!
Bitte warten ..
Mitglied: AliasSebbo
24.03.2014 um 10:11 Uhr
Hallo liebe Gemeinde!

Ich habe neue Erkenntnisse was die ID4625 ausgelöst hat!!!

Was habe ich gemacht?

Ich habe Wireshark (Netzwerksniffer) heute Morgen mitprotokollieren lassen, parallel dazu immer in Verbindung mit der Ereignisanzeige.
Nachdem ich die Zeitstempel abgepasst habe, konnte ich im Wiresharkprotokoll erkennen das Zugriffe über "microsoft-ds" Richtung DC-Server stattfinden.

Microsoft-DS ist für Filesharing, Druckerfreigeben etc. zuständig. (Diesen Port verwenden auch gerne mal Trojaner)

Aber hier versuchen die User auf bestimmte Dateifreigaben vom DC-Server (und den anderen Servern) zuzugreifen.

Die User haben Netzwerklaufwerke aber mit unterschiedlich hinterlegten Useranmeldungen (und einhergehenden anderen Passwörtern die auf den Clients gespeichert sind).
Jetzt ist hier über eine Domänenrichtlinie aber festgelegt das das Passwort alle 2 Monate abläuft und somit stimmt nicht mehr das Passwort für das Netzwerklaufwerk am Client.

Das erklärt warum jeden Monat andere Clients diesen Fehler verursachen (über 100 Clients).

Ich werde dem Kunden vorschlagen, diese Kennwortrichtline zu deaktivieren oder Gruppenspezifischefreigaben zu setzen
Bitte warten ..
Mitglied: Jannis92
24.03.2014 um 15:24 Uhr
Mensch, das hört sich doch soweit ganz gut an
Good Job ;p.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Batch & Shell
Eventlog Druckjobs mit VBS auslesen (2)

Frage von joni2000de zum Thema Batch & Shell ...

Windows Server
User-ID zu Application Crash

Frage von pablovic zum Thema Windows Server ...

Hyper-V
gelöst Hyper-V gleiche Datenträger-ID bzw. Volume-ID (10)

Frage von Bernd16 zum Thema Hyper-V ...

Windows Netzwerk
gelöst PC scheint in Domäne zu sein, ist es aber laut Eventlog nicht wirklich (5)

Frage von psch1991 zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...