19
EventLog-ID 4625
Hallo Administrator.de-Gemeinde,
wir haben bei einem Kunden schon seit längerem das Problem, das die Ereignisanzeige vollgeschrieben wird mit der Event-Log ID 4625 (unbekannter Benutzer oder falsches Kennwort).
Diese "fälschliche" Benutzeranmeldung kommt aus dem internen Netzwerk = LogonID 3, und das teilweise im Sekunden und Minutentakt.
Was mir sofort aufgefallen ist, es sind jedesmal andere Arbeitsplatz-PC's die hier verzeichnet werden.
Teilweise wird versucht sich "Administrator" an der Domäne anzumelden aber auch User, bzw. wird auch immer mal versucht sich lokal anzumelden was auch fehlschlägt, aber nicht weiterkommt da warscheinlich das Kennwort nicht passt!?
Wir haben ca. 5 PC's neu installiert und konfiguriert (zumindest die, die am meisten von diesen "Fehlern" produziert haben). Komischerweise fallen diese Neukonfigurierten Arbeitsplatz-PC's jetzt nicht mehr auf!?
Desweiteren haben wir einen Test-PC installiert und am Netzwerk angeschlossen + AD-Anbindung, dieser "DUMMY-PC" protokollierte jetzt sogar selber (lokal) das andere PC's sich darauf authentifzieren wollten (ID4625). Ebenfalls als Administrator.
Am liebsten würde ich das gerne mit allen PC's machen lassen, aber es handelt sich hierbei um ca. 100PC's wenn nicht sogar mehr und da könnt ich den Mitarbeiter das ganze Jahr abstellen nur um PC's zu installieren
was nicht gerade wirtschaftlich ist.
Heute habe ich versucht mich absichtlich mit falschen Benutzerdaten (Falscher Benutzer, falsches Kennwort in verschiedenen Kombinationen) anzumelden. Es wurde auch recht erfolgreich lokal am PC sowie am DC-Server protokolliert, konnte aber leider die ID4625 dadurch nicht generieren. Auch der fälschliche Zugriff auf Netzwerkfreigaben hat nicht die ID4625 ausgegeben.
Jetzt meine Frage: Was generiert die ID4625? Wie kommt dieses zustande?
Meine Überlegung war, das wohl irgendein Dienst auf einigen PC's läuft der diesen Fehler am Server generieren lässt, oder evtl. sogar bösartige Software, da die Zugriffe mehrmals in der Sekunde stattfinden und dazu auch noch mehrere Ports durchprobiert werden.
z.B. die IP 192.168.168.122 versucht sich über 35 verschiedene Ports innerhalb von 1-2 Sekunden an der Domäne und/oder lokal mit Administrator und/oder User anzumelden und generiert dabei die ID4625.
Leider kann ich physisch nicht auf die PC's zugreifen, da diese alle samt Server im Ausland stehen.
Ebenfalls vorhanden (wie im Text ja steht) ist ein Server mit MS-Server2008 (ohne R2) mit AD und DNS und die meisten Arbeitsplatz PC's sind mit Win7 ausgestattet.
Zwischenzeitlich habe ich auch mal einen Netzwerk-Sniffer mitlaufen lassen um evtl zu sehen wer oder was nach draußen telefoniert. Aber auch hier war nichts Auffälliges. Es muss sich also um ein internes Problem handeln (nehm ich mal an), da sich in den Event-Logs nur interne IP's wiederfinden.
Ich hoffe Ihr könnt mir/uns helfen!
Vielen lieben Dank schonmal!
Mit freundlichen Grüßen
wir haben bei einem Kunden schon seit längerem das Problem, das die Ereignisanzeige vollgeschrieben wird mit der Event-Log ID 4625 (unbekannter Benutzer oder falsches Kennwort).
Diese "fälschliche" Benutzeranmeldung kommt aus dem internen Netzwerk = LogonID 3, und das teilweise im Sekunden und Minutentakt.
Was mir sofort aufgefallen ist, es sind jedesmal andere Arbeitsplatz-PC's die hier verzeichnet werden.
Teilweise wird versucht sich "Administrator" an der Domäne anzumelden aber auch User, bzw. wird auch immer mal versucht sich lokal anzumelden was auch fehlschlägt, aber nicht weiterkommt da warscheinlich das Kennwort nicht passt!?
Wir haben ca. 5 PC's neu installiert und konfiguriert (zumindest die, die am meisten von diesen "Fehlern" produziert haben). Komischerweise fallen diese Neukonfigurierten Arbeitsplatz-PC's jetzt nicht mehr auf!?
Desweiteren haben wir einen Test-PC installiert und am Netzwerk angeschlossen + AD-Anbindung, dieser "DUMMY-PC" protokollierte jetzt sogar selber (lokal) das andere PC's sich darauf authentifzieren wollten (ID4625). Ebenfalls als Administrator.
Am liebsten würde ich das gerne mit allen PC's machen lassen, aber es handelt sich hierbei um ca. 100PC's wenn nicht sogar mehr und da könnt ich den Mitarbeiter das ganze Jahr abstellen nur um PC's zu installieren
was nicht gerade wirtschaftlich ist.Heute habe ich versucht mich absichtlich mit falschen Benutzerdaten (Falscher Benutzer, falsches Kennwort in verschiedenen Kombinationen) anzumelden. Es wurde auch recht erfolgreich lokal am PC sowie am DC-Server protokolliert, konnte aber leider die ID4625 dadurch nicht generieren. Auch der fälschliche Zugriff auf Netzwerkfreigaben hat nicht die ID4625 ausgegeben.
Jetzt meine Frage: Was generiert die ID4625? Wie kommt dieses zustande?
Meine Überlegung war, das wohl irgendein Dienst auf einigen PC's läuft der diesen Fehler am Server generieren lässt, oder evtl. sogar bösartige Software, da die Zugriffe mehrmals in der Sekunde stattfinden und dazu auch noch mehrere Ports durchprobiert werden.
z.B. die IP 192.168.168.122 versucht sich über 35 verschiedene Ports innerhalb von 1-2 Sekunden an der Domäne und/oder lokal mit Administrator und/oder User anzumelden und generiert dabei die ID4625.
Leider kann ich physisch nicht auf die PC's zugreifen, da diese alle samt Server im Ausland stehen.
Ebenfalls vorhanden (wie im Text ja steht) ist ein Server mit MS-Server2008 (ohne R2) mit AD und DNS und die meisten Arbeitsplatz PC's sind mit Win7 ausgestattet.
Zwischenzeitlich habe ich auch mal einen Netzwerk-Sniffer mitlaufen lassen um evtl zu sehen wer oder was nach draußen telefoniert. Aber auch hier war nichts Auffälliges. Es muss sich also um ein internes Problem handeln (nehm ich mal an), da sich in den Event-Logs nur interne IP's wiederfinden.
Ich hoffe Ihr könnt mir/uns helfen!
Vielen lieben Dank schonmal!
Mit freundlichen Grüßen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 232950
Url: https://administrator.de/contentid/232950
Printed on: April 19, 2024 at 13:04 o'clock
19 Comments
Latest comment
Hey AliasSebbo,
was ist das für ein Server, auf dem die Logs generiert werden?
Also welche Funktion hat er?
Und wie sind die fünf neu eingerichteten Rechner ausgestattet? Selbe Software wie
die anderen 100 Clients, hat jeder Client eine unterschiedliche Software?
Kannst du das Problem auf ein bestimmten Zeitraum beschränken?
Es muss ja einen Zeitpunkt geben, wo evlt. alle 100 Clients aufmal angefangen haben, diese Fehlermeldung zu produzieren.
Könnte evlt. mit Updates zusammenhängen...
Wurden die Clients mal auf Schadsoftware überprüft?!
was ist das für ein Server, auf dem die Logs generiert werden?
Also welche Funktion hat er?
Und wie sind die fünf neu eingerichteten Rechner ausgestattet? Selbe Software wie
die anderen 100 Clients, hat jeder Client eine unterschiedliche Software?
Kannst du das Problem auf ein bestimmten Zeitraum beschränken?
Es muss ja einen Zeitpunkt geben, wo evlt. alle 100 Clients aufmal angefangen haben, diese Fehlermeldung zu produzieren.
Könnte evlt. mit Updates zusammenhängen...
Wurden die Clients mal auf Schadsoftware überprüft?!
1
Hallo Jannis92,
erstmal Danke für die schnelle Antwort
Zum Server:
- Microsoft Windows Server 2008,
- Domain Controller mit Active Directory
- DNS-Server
- File Services sind installiert
- Microsoft SQL Server 2008
- Microsoft Dynamics NAV 2009 R2
Software - TeamViewer 9 Host (von uns), Advanced Monitoring Agent+Antivirus (von uns)
Das sind soweit die Dienste/Rollen etc. wo darauf laufen.
Jetzt zu den 5 Rechnern:
Ausstattung:
- Microsoft Dynamics NAV 2009 Classic
- TeamViewer 9 Host (von uns), Advanced Monitoring Agent+Antivirus (von uns)
- und noch eins/zwei Warenwirtschaftsprogramme
(- manche PC's davon besitzen auch eine CAD-Software)
Zum Zeitraum:
jaein, ich kann nur so viel sagen, das die Log's erst nach Arbeitszeitbeginn anfangen, also sobald die PC's
eingeschaltet werden (08:00) bis Ende (18:00).
Der Zugriffsintervall ist total unterschiedlich. Mal stundenlang gar nichts und dann in der Sekunde 5-8 Zugriffsversuche
von einer IP-Adresse über verschiedene Ports und das alle 5 Minuten.
Zum Beispiel:
-> 09:45:15 IP 192.168.168.222:5008 (ID4625)
09:45:15 IP 192.168.168.222:5013 (ID4625)
09:45:15 IP 192.168.168.222:5018 (ID4625)
09:45:15 IP 192.168.168.222:5023 (ID4625)
09:45:15 IP 192.168.168.222:5028 (ID4625)
09:45:15 IP 192.16...................... (ID4625)
-> 09:50:15 IP 192.168.168.222:5118 (ID4625)
09:50:15 IP 192.16..................... (ID4625)
und dann dauert es wieder ca. 5 Minuten und der ganze Spaß geht weiter (Die Ports sind natürlich jetz ausm Kopf
frei "erfunden", is nur zur veranschaulichung Zwecks dem Schematischen vorgehen)
Es ist nicht so das ALLE Clients aufeinmal anfangen diesen Fehler zu produzieren. Es sind meistens immer nur
ein paar PC's (recht unterschiedlich), wir lassen dann diese PC's neuinstallieren und das Problem ist erledigt.
Allerdings nach 2 Tagen fängt dafür wieder ein ganz anderer an, der vorher überhaupt keinen Fehler produziert hat.
Ich hatte mal auf dem Server HijackThis laufen und konnte hier nichts finden. Auf den Clients hab ich es noch nicht
testen können, da ich hier leider auch nicht über TeamViewer drauf komm noch physisch an die Geräte rankomm
da diese wie schon gesagt im Ausland stehen. Wir haben nur vom Kunden einen "Techniker" vor Ort der anfallende
Aufgaben erledigen kann.
Die Clients hatten alle vorher den Kasperky-Antivirus installiert, dieser wurde durch unseren Monitoring-Agenten+Antivirus
ersetzt (zumindest bei einigen die überwacht werden)
Dabei musste ich feststellen das einer dieser Clients über 800 Viren/Trojaner was auch immer im Container vom Antivurs hat,
was ich verdächtig viel finde
Momentan ist kurzzeitig wieder Ruhe eingekehrt. Es ist aber nur eine Frage der Zeit bis der nächste Auftaucht.
Vielen lieben Dank für die Hilfe
erstmal Danke für die schnelle Antwort
Zum Server:
- Microsoft Windows Server 2008,
- Domain Controller mit Active Directory
- DNS-Server
- File Services sind installiert
- Microsoft SQL Server 2008
- Microsoft Dynamics NAV 2009 R2
Software - TeamViewer 9 Host (von uns), Advanced Monitoring Agent+Antivirus (von uns)
Das sind soweit die Dienste/Rollen etc. wo darauf laufen.
Jetzt zu den 5 Rechnern:
Ausstattung:
- Microsoft Dynamics NAV 2009 Classic
- TeamViewer 9 Host (von uns), Advanced Monitoring Agent+Antivirus (von uns)
- und noch eins/zwei Warenwirtschaftsprogramme
(- manche PC's davon besitzen auch eine CAD-Software)
Zum Zeitraum:
jaein, ich kann nur so viel sagen, das die Log's erst nach Arbeitszeitbeginn anfangen, also sobald die PC's
eingeschaltet werden (08:00) bis Ende (18:00).
Der Zugriffsintervall ist total unterschiedlich. Mal stundenlang gar nichts und dann in der Sekunde 5-8 Zugriffsversuche
von einer IP-Adresse über verschiedene Ports und das alle 5 Minuten.
Zum Beispiel:
-> 09:45:15 IP 192.168.168.222:5008 (ID4625)
09:45:15 IP 192.168.168.222:5013 (ID4625)
09:45:15 IP 192.168.168.222:5018 (ID4625)
09:45:15 IP 192.168.168.222:5023 (ID4625)
09:45:15 IP 192.168.168.222:5028 (ID4625)
09:45:15 IP 192.16...................... (ID4625)
-> 09:50:15 IP 192.168.168.222:5118 (ID4625)
09:50:15 IP 192.16..................... (ID4625)
und dann dauert es wieder ca. 5 Minuten und der ganze Spaß geht weiter (Die Ports sind natürlich jetz ausm Kopf
frei "erfunden", is nur zur veranschaulichung Zwecks dem Schematischen vorgehen)
Es ist nicht so das ALLE Clients aufeinmal anfangen diesen Fehler zu produzieren. Es sind meistens immer nur
ein paar PC's (recht unterschiedlich), wir lassen dann diese PC's neuinstallieren und das Problem ist erledigt.
Allerdings nach 2 Tagen fängt dafür wieder ein ganz anderer an, der vorher überhaupt keinen Fehler produziert hat.
Ich hatte mal auf dem Server HijackThis laufen und konnte hier nichts finden. Auf den Clients hab ich es noch nicht
testen können, da ich hier leider auch nicht über TeamViewer drauf komm noch physisch an die Geräte rankomm
da diese wie schon gesagt im Ausland stehen. Wir haben nur vom Kunden einen "Techniker" vor Ort der anfallende
Aufgaben erledigen kann.
Die Clients hatten alle vorher den Kasperky-Antivirus installiert, dieser wurde durch unseren Monitoring-Agenten+Antivirus
ersetzt (zumindest bei einigen die überwacht werden)
Dabei musste ich feststellen das einer dieser Clients über 800 Viren/Trojaner was auch immer im Container vom Antivurs hat,
was ich verdächtig viel finde
Momentan ist kurzzeitig wieder Ruhe eingekehrt. Es ist aber nur eine Frage der Zeit bis der nächste Auftaucht.
Vielen lieben Dank für die Hilfe
UPDATE!
Mittlerweile bekomm ich von einem anderen Server der im Netzwer hängt, genau die selben Event-Logs mit der ID4625 mit dem selben schematischen Vorgehen
Hier mal ein kurzer Auszug:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: WIN-D4RNGR00R4N
Account Domain: *Domain-Name*(ausgeblendet)
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: WIN-D4RNGR00R4N
Source Network Address: 192.168.168.75
Source Port: 49421
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Mittlerweile bekomm ich von einem anderen Server der im Netzwer hängt, genau die selben Event-Logs mit der ID4625 mit dem selben schematischen Vorgehen
Hier mal ein kurzer Auszug:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: WIN-D4RNGR00R4N
Account Domain: *Domain-Name*(ausgeblendet)
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: WIN-D4RNGR00R4N
Source Network Address: 192.168.168.75
Source Port: 49421
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Sowie die Event-ID mit diesem Inhalt
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: CPDW7JAYASANTHA
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc000006a
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: CPDW7JAYASANTHA
Source Network Address: 192.168.168.95
Source Port: 49434
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: CPDW7JAYASANTHA
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc000006a
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: CPDW7JAYASANTHA
Source Network Address: 192.168.168.95
Source Port: 49434
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Und auf dem sogenannten DUMMY-PC hier NetBIOS = CPDW7DUMMY folgendes Ereigniss ID4625
An diesem PC sitzt kein Mitarbeiter (sollte zumindest), der PC steht einfach nur in der "Gegend" rum
und ist für unsere "Ermittlungszwecke" und "Testzwecke" da.
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: *Domain-Name*
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc000006a
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: CPDW7DUMMY
Source Network Address: fe80::2db4:5c8b:350e:fc6f
Source Port: 49393
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
An diesem PC sitzt kein Mitarbeiter (sollte zumindest), der PC steht einfach nur in der "Gegend" rum
und ist für unsere "Ermittlungszwecke" und "Testzwecke" da.
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: *Domain-Name*
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc000006a
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: CPDW7DUMMY
Source Network Address: fe80::2db4:5c8b:350e:fc6f
Source Port: 49393
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Hi,
hast du vor kurzem dein Admin-Passwort gewechselt und vielleicht gibt es auf irgendeinem deiner Server einen Dienst/Task der noch das Admin-Konto mit dem alten Passwort verwendet?
Gruß
l8s
hast du vor kurzem dein Admin-Passwort gewechselt und vielleicht gibt es auf irgendeinem deiner Server einen Dienst/Task der noch das Admin-Konto mit dem alten Passwort verwendet?
Gruß
l8s
1
Hi layer8slayer,
das Admin-Passwort ist schon seit längerem nicht mehr geändert worden. Und die Kennwörter für Progs die evtl. Adminrechte benötigen wurden angeblich schon überprüft bzw. auf das jetzige angepasst (falls doch was falsches drinstehen sollte), aber das hat leider nichts gebracht.
LG
das Admin-Passwort ist schon seit längerem nicht mehr geändert worden. Und die Kennwörter für Progs die evtl. Adminrechte benötigen wurden angeblich schon überprüft bzw. auf das jetzige angepasst (falls doch was falsches drinstehen sollte), aber das hat leider nichts gebracht.
LG
Hey,
das wäre auch zu einfach ;)
Benutzen die User zufällig Smartcards zum Einloggen?
Also du bist dir sicher, dass alle Anfragen von Intern kommen? Weil bei der Protokollierung immer verschiedene Statusfehlercodes auftauchen:
0xC0000064 steht für user name does not exist
0xC000006A steht für user name is correct but the password is wrong
Für mich sieht es nach einem Angriff aus, bzw. ein Kollege von dir testet dich ;)
Laut Google kann es - wie immer bei Mikroschrott - alles mögliche sein bei dieser ID
Schau mal zur Info:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
Gruß
l8s
das wäre auch zu einfach ;)
Benutzen die User zufällig Smartcards zum Einloggen?
Also du bist dir sicher, dass alle Anfragen von Intern kommen? Weil bei der Protokollierung immer verschiedene Statusfehlercodes auftauchen:
0xC0000064 steht für user name does not exist
0xC000006A steht für user name is correct but the password is wrong
Für mich sieht es nach einem Angriff aus, bzw. ein Kollege von dir testet dich ;)
Laut Google kann es - wie immer bei Mikroschrott - alles mögliche sein bei dieser ID
Schau mal zur Info:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
Gruß
l8s
1
Hey layer8slayer,
nein die User verwenden keine Smartcards, da funktioniert das noch ganz normal über Benutzer und Kennwort
nach der Status-ID und Substatus-ID hab ich auch schon in der von dir geannten Site gesucht und bin auch auf das selbe Ergebnis gekommen.
Ich hab mir schon wirklich Stunden/Tage den Kopf darüber zerbrochen woher das kommt und bin daran verzweifelt
Kann mir nicht vorstellen das diese "Angriffe" von aussen kommen, weil dann würde es ja bedeuten das die Firewall die nach dem Modem kommt nix taugt.
Das ein Kollege von mir mich testen möchte kann ich mir nicht vorstellen, da ich mein eigener Kollege bin
Der "Techniker" vor Ort beim Kunden ist dessen Mitarbeiter der nur eins-zwei Aufgaben übernimmt aber leider keine gelernte Fachkraft ist und auch die IT-Unternehmen in diesem Land sind sehr fragwürdig, da diese gerne versuchen Pfusch zu vertuschen, deswegen sollen wir jetzt versuchen die IT von DE aus in den Griff zu bekommen.
Der Gedanke stand im Raum, ob den unser Monitoring-Agent diese Meldung verursacht. Aber davon sind wir wieder abgekommen, da es ja bei anderen Kunden auch auffallen würde, und ein Monitoring das selbst Hackerangriffe verursacht wäre ganz schön kontraproduktiv.
Mir und unserem Kunden gehen so langsam die Ideen aus
(Viell. doch einen PC nach dem anderen neu installieren? Gefahr ist, das dieser Vorgang auch kontraproduktiv enden könnte, da wir nicht wissen wo der Fehler herkommt und evtl. diese PC's früher oder später wieder damit behaftet sind)
LG
nein die User verwenden keine Smartcards, da funktioniert das noch ganz normal über Benutzer und Kennwort
nach der Status-ID und Substatus-ID hab ich auch schon in der von dir geannten Site gesucht und bin auch auf das selbe Ergebnis gekommen.
Ich hab mir schon wirklich Stunden/Tage den Kopf darüber zerbrochen woher das kommt und bin daran verzweifelt
Kann mir nicht vorstellen das diese "Angriffe" von aussen kommen, weil dann würde es ja bedeuten das die Firewall die nach dem Modem kommt nix taugt.
Das ein Kollege von mir mich testen möchte kann ich mir nicht vorstellen, da ich mein eigener Kollege bin
Der "Techniker" vor Ort beim Kunden ist dessen Mitarbeiter der nur eins-zwei Aufgaben übernimmt aber leider keine gelernte Fachkraft ist und auch die IT-Unternehmen in diesem Land sind sehr fragwürdig, da diese gerne versuchen Pfusch zu vertuschen, deswegen sollen wir jetzt versuchen die IT von DE aus in den Griff zu bekommen.
Der Gedanke stand im Raum, ob den unser Monitoring-Agent diese Meldung verursacht. Aber davon sind wir wieder abgekommen, da es ja bei anderen Kunden auch auffallen würde, und ein Monitoring das selbst Hackerangriffe verursacht wäre ganz schön kontraproduktiv.
Mir und unserem Kunden gehen so langsam die Ideen aus
(Viell. doch einen PC nach dem anderen neu installieren?
Gefahr ist, das dieser Vorgang auch kontraproduktiv enden könnte, da wir nicht wissen wo der Fehler herkommt und evtl. diese PC's früher oder später wieder damit behaftet sind)LG
Hey,
also Neuinstallation bringt doch auch nichts. Du hast doch geschrieben, dass "frische" Clients es dann auch nach kurzer Zeit machen.
Was mich noch stutzig macht, ist die Info, dass es um NTLM geht. Ich kenne mich da auch nicht so aus, aber NTLM soll der Vorgänger von Kerberos sein und nach win 2000 eigentlcih nicht mehr im Einsatz sein sollte. Wenn aber Kerberos nicht funktioniert, soll als Backup das NTLM herhalten. Da habe ich zwei Ideen:
1. Wenn Kerberos nicht funktioniert würde ich mich als erstes um die Uhrzeiten in der Domäne kümmern. Gibt es da Abweichungen?
2. Kann man das NTLM nicht komplett abschalten, damit diese Fehlermeldung nicht auftaucht?
Sonst weiß ich auch nicht weiter ;)
Gruß
l8s
also Neuinstallation bringt doch auch nichts. Du hast doch geschrieben, dass "frische" Clients es dann auch nach kurzer Zeit machen.
Was mich noch stutzig macht, ist die Info, dass es um NTLM geht. Ich kenne mich da auch nicht so aus, aber NTLM soll der Vorgänger von Kerberos sein und nach win 2000 eigentlcih nicht mehr im Einsatz sein sollte. Wenn aber Kerberos nicht funktioniert, soll als Backup das NTLM herhalten. Da habe ich zwei Ideen:
1. Wenn Kerberos nicht funktioniert würde ich mich als erstes um die Uhrzeiten in der Domäne kümmern. Gibt es da Abweichungen?
2. Kann man das NTLM nicht komplett abschalten, damit diese Fehlermeldung nicht auftaucht?
Sonst weiß ich auch nicht weiter ;)
Gruß
l8s
1
Hallo,
was den NTLM angeht bin ich mir auch ned soooo 100% sicher ^.^ aber abschalten möcht ich des auch nicht unbedingt (sofern es überhaupt funktioniert) da ich nicht weiß ob noch XP-Clients im Netz hängen die evtl. Kerberos nicht unterstützen?!
Meinst du die Zeitsynchronisation mit dem Domänen-Controller? Wie kann ich die überprüfen, gibt es dazu Tools? Wie schon gesagt, ich komm leider über Team Viewer nicht auf die Clients (nur auf diesen DUMMY-PC und Server).
Ich könnte zwar den "Techniker" vor Ort damit beauftragen, aber bis dieser reagiert vergehen 3 Tage oder mehr, da dieser so schon versucht alles am laufen zu halten
Vielen Dank für deine Hilfe! Ich werde mir aber aufjedenfall mir nochmal diese NTLM Geschichte zugemüte führen, da ich diesen Ansatz bisher noch nicht verfolgt habe und mir auch keine Gedanken darüber gemacht habe. Danke nochmal!
LG
was den NTLM angeht bin ich mir auch ned soooo 100% sicher ^.^ aber abschalten möcht ich des auch nicht unbedingt (sofern es überhaupt funktioniert) da ich nicht weiß ob noch XP-Clients im Netz hängen die evtl. Kerberos nicht unterstützen?!
Meinst du die Zeitsynchronisation mit dem Domänen-Controller? Wie kann ich die überprüfen, gibt es dazu Tools? Wie schon gesagt, ich komm leider über Team Viewer nicht auf die Clients (nur auf diesen DUMMY-PC und Server).
Ich könnte zwar den "Techniker" vor Ort damit beauftragen, aber bis dieser reagiert vergehen 3 Tage oder mehr, da dieser so schon versucht alles am laufen zu halten
Vielen Dank für deine Hilfe!
Ich werde mir aber aufjedenfall mir nochmal diese NTLM Geschichte zugemüte führen, da ich diesen Ansatz bisher noch nicht verfolgt habe und mir auch keine Gedanken darüber gemacht habe. Danke nochmal! LG
Hey,
ja ich meine die Zeitsync mit dem DC.
Manuelle Zeitsync mit "net Stop w32time" "w32time -update" "net Start w32time" auf der cmd.
Der DummyPC läuft doch nicht mit XP! Also warum klappt dann Kerberos nicht?
Kein Ding. Ich hoffe, dass du es löst und uns deine Lösung mitteilst
Gruß
l8s
ja ich meine die Zeitsync mit dem DC.
Manuelle Zeitsync mit "net Stop w32time" "w32time -update" "net Start w32time" auf der cmd.
Der DummyPC läuft doch nicht mit XP! Also warum klappt dann Kerberos nicht?
Kein Ding. Ich hoffe, dass du es löst und uns deine Lösung mitteilst
Gruß
l8s
1
Hallöle,
hey supi! Das werde ich dann morgen gleich mal ausprobieren.
Ja der Dummy-PC läuft mit Win7. Ich muss das mal nachverfolgen (aber heut nicht mehr, mach jetzt Feierabend ^.^ )
Klar, werde auch mal meine einzelnen Schritte zum Thema mitteilen. Vielleicht finden sich noch weitere Lösungsansätze.
Aber jetzt erstmal das ausprobieren. Wenn es wirklich DAS war, dann hüpf ich erstmal vor Freude hier im Kreis und schlage paar Purzelbäume xD
LG
hey supi! Das werde ich dann morgen gleich mal ausprobieren.
Ja der Dummy-PC läuft mit Win7. Ich muss das mal nachverfolgen (aber heut nicht mehr, mach jetzt Feierabend ^.^ )
Klar, werde auch mal meine einzelnen Schritte zum Thema mitteilen. Vielleicht finden sich noch weitere Lösungsansätze.
Aber jetzt erstmal das ausprobieren. Wenn es wirklich DAS war, dann hüpf ich erstmal vor Freude hier im Kreis und schlage paar Purzelbäume xD
LG
Hey ho!
bin jetzt auf folgende Event ID gestoßen, wo evtl. auf ein Kerberos Problem hindeutet.
Hab hier die EventID 4769 mit folgenden Fehlertext bei exakt den selben PC's die die ID 4625 generieren.
A Kerberos service ticket was requested. Account Information: Account Name: CPDW7DUMMY$@*Domäne* Account Domain: *Domäne* Logon GUID: {00000000-0000-0000-0000-000000000000} Service Information: Service Name: krbtgt/*Domäne* Service ID: NULL SID Network Information: Client Address: ::ffff:192.168.168.192 Client Port: 51882 Additional Information: Ticket Options: 0x60810010 Ticket Encryption Type: 0xffffffff Failure Code: 0xe Transited Services: - This event is generated ev...
Hier ist sogar der DUMMY-PC mit dabei.
Und dieser Failure Code:
0xE KDC has no support for encryption type
bin jetzt auf folgende Event ID gestoßen, wo evtl. auf ein Kerberos Problem hindeutet.
Hab hier die EventID 4769 mit folgenden Fehlertext bei exakt den selben PC's die die ID 4625 generieren.
A Kerberos service ticket was requested. Account Information: Account Name: CPDW7DUMMY$@*Domäne* Account Domain: *Domäne* Logon GUID: {00000000-0000-0000-0000-000000000000} Service Information: Service Name: krbtgt/*Domäne* Service ID: NULL SID Network Information: Client Address: ::ffff:192.168.168.192 Client Port: 51882 Additional Information: Ticket Options: 0x60810010 Ticket Encryption Type: 0xffffffff Failure Code: 0xe Transited Services: - This event is generated ev...
Hier ist sogar der DUMMY-PC mit dabei.
Und dieser Failure Code:
0xE KDC has no support for encryption type
Hallo nochmal,
hab heut das mit der manuellen Zeitsync ausprobiert. Und auch mal die Zeiten verglichen.
Die Zeiten zwischen DUMMY und AD-Server stimmen auf die Sekunde genau überein.
Der Dummy wurde aber auch am AD-Server nicht negativ protokolliert.
Aber was Problem im Netzwerk ist, ist die Kerberos-Authentifzierung. Ich hab da zwar was bei Microsoft gefunden und auch dementsprechend in den Richtlinien gesetzt, hat allerdings gar nichts gebracht. (DES, SAE Verschlüsselung etc.) Hab die Richtlinie wieder entfernt, da "gpupdate /force" mit Fehlermeldungen abgebrochen wurde (konnte eine gewisse gpt.ini nicht laden) Nachdem ich die Richtlinie entfernt hatte, funktionierte "gpupdate" auch wieder. Allerdings werden trotz gpupdate andere Regeln trotzdem nicht übernommen die ich gesetzt habe?! Hat das was zu bedeuten?
Ich habe heute versucht die ID4625 durch eine Fehlerhafte interaktive Benutzeranmeldung hervorzurufen. Leider wurde auch hier nichts dergleichen protokolliert. Woher kommt jetzt diese ID4625?
Ich werd noch wahnsinnig! :'(
Und warum ist davon nicht nur der AD-Server betroffen sondern die Clients auch (warum protokollieren die Clients ->lokal<- ebenfalls den Fehler 4625?)
Ich weis es ist sehr schwer zu verstehen was hier vorgeht, da ich selber unheimlich auf dem Schlauch steh!!!!
Um es kurz mal zu erläutern.
Domäne: test.local
Server:
- Server01 (prim. AD) IP 192.168.168.100
- Server02 (sek. AD) IP 192.168.168.101
Clients:
- Client01 IP192.168.168.1
- Client02 IP192.168.168.2
- Client03 IP192.168.168.3
- Client04,05,06,07,08,09,10 IP192.168.168.4, usw.
- DUMMY-PC IP192.168.168.11
Client01,03,04,07 generieren am Server01 jeweils mit der eigenen IP die EventID4625 nach dem obig beschrieben Schema, während die restlichen PC's in keinster weiße auffalen (Wenn also ein Netzwerkübergreifendes Kerberos-Problem vorliegen würde, müsste es dann nicht gleichermaßen ALLE Clients betreffen?)
Client01,03 wurden neuinstalliert. Seitdem fallen diese zwei PC's nicht mehr auf. Dafür kommen dann 2-3 Tage später Client05,06,09 dazu, ebenfalls mit der ID4625. Warum machen die so etwas, wo die vorher NIE aufgefallen sind. Auch diese werden neu installiert und fallen erstmal nicht mehr auf.
Nach 4 Wochen ist der Client01 evtl. noch Client03 wieder dabei und so geht das seit keine Ahnung wie lange(hab aufgehört die Monate zu zählen).
Das alles wird am Server01 protokolliert! Nicht am Server02?!
Server02 protokolliert zwar auch ab und an die ID4625, aber hier nur recht geringfügig.
Es existieren zwar noch mehr Server (z.B. Fileserver) aber die fallen auch nicht auf, ausser heute! Heute wurde auch hier die ID4652 verzeichnet?!?!?
Ja und es hört nicht auf!
Sogar die Clients selber sind lokal von dieser Plage betroffen. Mittlerweile wird auch hier im Logbuch die ID4625 verzeichnet allerdings von anderen Clients.
Client10 meldet sich mit richtigen benutzer an, aber mit falschen kennwort, wird am DUMMY-PC verzeichnet.
Um Himmelswillen! Was ist da los!?
:'(
Danke nochmal für eure Hilfe
hab heut das mit der manuellen Zeitsync ausprobiert. Und auch mal die Zeiten verglichen.
Die Zeiten zwischen DUMMY und AD-Server stimmen auf die Sekunde genau überein.
Der Dummy wurde aber auch am AD-Server nicht negativ protokolliert.
Aber was Problem im Netzwerk ist, ist die Kerberos-Authentifzierung. Ich hab da zwar was bei Microsoft gefunden und auch dementsprechend in den Richtlinien gesetzt, hat allerdings gar nichts gebracht. (DES, SAE Verschlüsselung etc.) Hab die Richtlinie wieder entfernt, da "gpupdate /force" mit Fehlermeldungen abgebrochen wurde (konnte eine gewisse gpt.ini nicht laden) Nachdem ich die Richtlinie entfernt hatte, funktionierte "gpupdate" auch wieder. Allerdings werden trotz gpupdate andere Regeln trotzdem nicht übernommen die ich gesetzt habe?! Hat das was zu bedeuten?
Ich habe heute versucht die ID4625 durch eine Fehlerhafte interaktive Benutzeranmeldung hervorzurufen. Leider wurde auch hier nichts dergleichen protokolliert. Woher kommt jetzt diese ID4625?
Ich werd noch wahnsinnig! :'(
Und warum ist davon nicht nur der AD-Server betroffen sondern die Clients auch (warum protokollieren die Clients ->lokal<- ebenfalls den Fehler 4625?)
Ich weis es ist sehr schwer zu verstehen was hier vorgeht, da ich selber unheimlich auf dem Schlauch steh!!!!
Um es kurz mal zu erläutern.
Domäne: test.local
Server:
- Server01 (prim. AD) IP 192.168.168.100
- Server02 (sek. AD) IP 192.168.168.101
Clients:
- Client01 IP192.168.168.1
- Client02 IP192.168.168.2
- Client03 IP192.168.168.3
- Client04,05,06,07,08,09,10 IP192.168.168.4, usw.
- DUMMY-PC IP192.168.168.11
Client01,03,04,07 generieren am Server01 jeweils mit der eigenen IP die EventID4625 nach dem obig beschrieben Schema, während die restlichen PC's in keinster weiße auffalen (Wenn also ein Netzwerkübergreifendes Kerberos-Problem vorliegen würde, müsste es dann nicht gleichermaßen ALLE Clients betreffen?)
Client01,03 wurden neuinstalliert. Seitdem fallen diese zwei PC's nicht mehr auf. Dafür kommen dann 2-3 Tage später Client05,06,09 dazu, ebenfalls mit der ID4625. Warum machen die so etwas, wo die vorher NIE aufgefallen sind. Auch diese werden neu installiert und fallen erstmal nicht mehr auf.
Nach 4 Wochen ist der Client01 evtl. noch Client03 wieder dabei und so geht das seit keine Ahnung wie lange(hab aufgehört die Monate zu zählen).
Das alles wird am Server01 protokolliert! Nicht am Server02?!
Server02 protokolliert zwar auch ab und an die ID4625, aber hier nur recht geringfügig.
Es existieren zwar noch mehr Server (z.B. Fileserver) aber die fallen auch nicht auf, ausser heute! Heute wurde auch hier die ID4652 verzeichnet?!?!?
Ja und es hört nicht auf!
Sogar die Clients selber sind lokal von dieser Plage betroffen. Mittlerweile wird auch hier im Logbuch die ID4625 verzeichnet allerdings von anderen Clients.
Client10 meldet sich mit richtigen benutzer an, aber mit falschen kennwort, wird am DUMMY-PC verzeichnet.
Um Himmelswillen! Was ist da los!?
:'(
Danke nochmal für eure Hilfe
Hey,
Was du evtl noch einmal probieren könntest wäre whireshark laufen zu lassen, bis solch
Eine Event id generiert wird. Da bei der event id eine zeit angegeben wird, kannst du dann schauen,
Was in dem Zeitraum bei deinem Server angefragt hat.
Hätte ich jetzt mal ausprobiert, um ein bisschen mehr infos zu erhalten, was zu der zeit, wo der
Fehler geloggt wurde, bei meinem Server angekommen ist.
Ansonsten habe ich so jetzt auch keine Idee.
Hier könntest du auch noch einmal gucken:
http://community.spiceworks.com/topic/386033-hundreds-of-4625-errors-on ...
Was du evtl noch einmal probieren könntest wäre whireshark laufen zu lassen, bis solch
Eine Event id generiert wird. Da bei der event id eine zeit angegeben wird, kannst du dann schauen,
Was in dem Zeitraum bei deinem Server angefragt hat.
Hätte ich jetzt mal ausprobiert, um ein bisschen mehr infos zu erhalten, was zu der zeit, wo der
Fehler geloggt wurde, bei meinem Server angekommen ist.
Ansonsten habe ich so jetzt auch keine Idee.
Hier könntest du auch noch einmal gucken:
http://community.spiceworks.com/topic/386033-hundreds-of-4625-errors-on ...
1
Guten Morgen Jannis92,
das mit Wireshark ist eine sehr gute Idee, ich muss mal schauen wie ich das bewerkstelligen kann das man mich nicht aus der Benutzeranmeldung rausschmeißt (Server steht ja wie schon gesagt im Ausland) und der verantwortliche Mitarbeiter vom Kunden meldet sich auch des Öfteren als Admin am Server an.
Evtl. leg ich mal einen neuen User mit Adminrechten an.
Werde mich wieder melden, wenn mir was aufgefallen ist.
Danke!
das mit Wireshark ist eine sehr gute Idee, ich muss mal schauen wie ich das bewerkstelligen kann das man mich nicht aus der Benutzeranmeldung rausschmeißt (Server steht ja wie schon gesagt im Ausland) und der verantwortliche Mitarbeiter vom Kunden meldet sich auch des Öfteren als Admin am Server an.
Evtl. leg ich mal einen neuen User mit Adminrechten an.
Werde mich wieder melden, wenn mir was aufgefallen ist.
Danke!
Hallo liebe Gemeinde!
Ich habe neue Erkenntnisse was die ID4625 ausgelöst hat!!!
Was habe ich gemacht?
Ich habe Wireshark (Netzwerksniffer) heute Morgen mitprotokollieren lassen, parallel dazu immer in Verbindung mit der Ereignisanzeige.
Nachdem ich die Zeitstempel abgepasst habe, konnte ich im Wiresharkprotokoll erkennen das Zugriffe über "microsoft-ds" Richtung DC-Server stattfinden.
Microsoft-DS ist für Filesharing, Druckerfreigeben etc. zuständig. (Diesen Port verwenden auch gerne mal Trojaner)
Aber hier versuchen die User auf bestimmte Dateifreigaben vom DC-Server (und den anderen Servern) zuzugreifen.
Die User haben Netzwerklaufwerke aber mit unterschiedlich hinterlegten Useranmeldungen (und einhergehenden anderen Passwörtern die auf den Clients gespeichert sind).
Jetzt ist hier über eine Domänenrichtlinie aber festgelegt das das Passwort alle 2 Monate abläuft und somit stimmt nicht mehr das Passwort für das Netzwerklaufwerk am Client.
Das erklärt warum jeden Monat andere Clients diesen Fehler verursachen (über 100 Clients).
Ich werde dem Kunden vorschlagen, diese Kennwortrichtline zu deaktivieren oder Gruppenspezifischefreigaben zu setzen
Ich habe neue Erkenntnisse was die ID4625 ausgelöst hat!!!
Was habe ich gemacht?
Ich habe Wireshark (Netzwerksniffer) heute Morgen mitprotokollieren lassen, parallel dazu immer in Verbindung mit der Ereignisanzeige.
Nachdem ich die Zeitstempel abgepasst habe, konnte ich im Wiresharkprotokoll erkennen das Zugriffe über "microsoft-ds" Richtung DC-Server stattfinden.
Microsoft-DS ist für Filesharing, Druckerfreigeben etc. zuständig. (Diesen Port verwenden auch gerne mal Trojaner)
Aber hier versuchen die User auf bestimmte Dateifreigaben vom DC-Server (und den anderen Servern) zuzugreifen.
Die User haben Netzwerklaufwerke aber mit unterschiedlich hinterlegten Useranmeldungen (und einhergehenden anderen Passwörtern die auf den Clients gespeichert sind).
Jetzt ist hier über eine Domänenrichtlinie aber festgelegt das das Passwort alle 2 Monate abläuft und somit stimmt nicht mehr das Passwort für das Netzwerklaufwerk am Client.
Das erklärt warum jeden Monat andere Clients diesen Fehler verursachen (über 100 Clients).
Ich werde dem Kunden vorschlagen, diese Kennwortrichtline zu deaktivieren oder Gruppenspezifischefreigaben zu setzen
Mensch, das hört sich doch soweit ganz gut an
Good Job ;p.
Good Job ;p.
