7
Exchange Server Event ID 4625
Hallo zusammen,
ich habe derzeit ein Problem auf dem Exchange Server. Seit mehreren Tagen bekommen wir aller 20 Minuten Events mit der ID 4625. Normalerweise kenne ich die Meldung vom DC oder einer Arbeitststation wenn der User sein PW falsch eingegeben hat. Die Events auf dem Exchange Server sind allerdings etwas, das ich so noch nicht kenne. Anbei ein Auszug aus der Log:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SRV-EXCHDB0$
Kontodomäne: **
Anmelde-ID: 0x3e7
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname:
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Das Konto ist derzeit deaktiviert.
Status: 0xc000006e
Unterstatus:: 0xc0000072
Prozessinformationen:
Aufrufprozess-ID: 0xf64
Aufrufprozessname: C:\Windows\System32\inetsrv\w3wp.exe
Netzwerkinformationen:
Arbeitsstationsname: SRV-EXCHDB0
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Authz
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Über eine Antwort bzw. Hilfestellung würde ich mich freuen.
ich habe derzeit ein Problem auf dem Exchange Server. Seit mehreren Tagen bekommen wir aller 20 Minuten Events mit der ID 4625. Normalerweise kenne ich die Meldung vom DC oder einer Arbeitststation wenn der User sein PW falsch eingegeben hat. Die Events auf dem Exchange Server sind allerdings etwas, das ich so noch nicht kenne. Anbei ein Auszug aus der Log:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SRV-EXCHDB0$
Kontodomäne: **
Anmelde-ID: 0x3e7
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname:
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Das Konto ist derzeit deaktiviert.
Status: 0xc000006e
Unterstatus:: 0xc0000072
Prozessinformationen:
Aufrufprozess-ID: 0xf64
Aufrufprozessname: C:\Windows\System32\inetsrv\w3wp.exe
Netzwerkinformationen:
Arbeitsstationsname: SRV-EXCHDB0
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Authz
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Über eine Antwort bzw. Hilfestellung würde ich mich freuen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 224317
Url: https://administrator.de/contentid/224317
Printed on: April 19, 2024 at 09:04 o'clock
7 Comments
Latest comment
Hallo,
hier dein Antwort:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
LG,
ticuta1
hier dein Antwort:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
LG,
ticuta1
Zitat von @Daniel.Wenzel:
Hallo zusammen,
ich habe derzeit ein Problem auf dem Exchange Server. Seit mehreren Tagen bekommen wir aller 20 Minuten Events mit der ID 4625.
Normalerweise kenne ich die Meldung vom DC oder einer Arbeitststation wenn der User sein PW falsch eingegeben hat. Die Events auf
dem Exchange Server sind allerdings etwas, das ich so noch nicht kenne. Anbei ein Auszug aus der Log:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SRV-EXCHDB0$
Kontodomäne: **
Anmelde-ID: 0x3e7
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname:
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Das Konto ist derzeit deaktiviert.
Status: 0xc000006e
Unterstatus:: 0xc0000072
Prozessinformationen:
Aufrufprozess-ID: 0xf64
Aufrufprozessname: C:\Windows\System32\inetsrv\w3wp.exe
Netzwerkinformationen:
Arbeitsstationsname: SRV-EXCHDB0
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Authz
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Über eine Antwort bzw. Hilfestellung würde ich mich freuen.
Hallo zusammen,
ich habe derzeit ein Problem auf dem Exchange Server. Seit mehreren Tagen bekommen wir aller 20 Minuten Events mit der ID 4625.
Normalerweise kenne ich die Meldung vom DC oder einer Arbeitststation wenn der User sein PW falsch eingegeben hat. Die Events auf
dem Exchange Server sind allerdings etwas, das ich so noch nicht kenne. Anbei ein Auszug aus der Log:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SRV-EXCHDB0$
Kontodomäne: **
Anmelde-ID: 0x3e7
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname:
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Das Konto ist derzeit deaktiviert.
Status: 0xc000006e
Unterstatus:: 0xc0000072
Prozessinformationen:
Aufrufprozess-ID: 0xf64
Aufrufprozessname: C:\Windows\System32\inetsrv\w3wp.exe
Netzwerkinformationen:
Arbeitsstationsname: SRV-EXCHDB0
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Authz
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Über eine Antwort bzw. Hilfestellung würde ich mich freuen.
Du Hast den falschen Konto deaktiviert ... bzw. die GPOs zur Kennwortsicherheit haben ihm deaktiviert
Kontoname: SRV-EXCHDB0$0
Fehlerursache: Das Konto ist derzeit deaktiviert.
Fehlerursache: Das Konto ist derzeit deaktiviert.
http://support.microsoft.com/kb/2591305
LG,
ticuta1
Hi, danke für die Antworten. Allerdings nutze ich kein Systemcenter, und der Accountname entspricht auch nicht dem Muster aus dem KB Artikel. Es ist richtig das Accounts die in kurzer Zeit zuviele "falsche Logins" generieren gesperrt werden. Allerdings verstehe ich nicht warum ein System Konto immer wieder versucht sich anzumelden.
Zitat von @Daniel.Wenzel:
Hi, danke für die Antworten. Allerdings nutze ich kein Systemcenter, und der Accountname entspricht auch nicht dem Muster aus
dem KB Artikel. Es ist richtig das Accounts die in kurzer Zeit zuviele "falsche Logins" generieren gesperrt werden.
okHi, danke für die Antworten. Allerdings nutze ich kein Systemcenter, und der Accountname entspricht auch nicht dem Muster aus
dem KB Artikel. Es ist richtig das Accounts die in kurzer Zeit zuviele "falsche Logins" generieren gesperrt werden.
Allerdings verstehe ich nicht warum ein System Konto immer wieder versucht sich anzumelden.
vielleicht weil zB das SystemKonto vom Betriebssystem und von Diensten verwendet wird, die unter Windows laufen. Es gibt in Windows viele Dienste und Prozesse, die die Möglichkeit der internen Anmeldung benötigen (z.B. während einer Windows-Installation). Für diesen Zweck dient das Systemkonto; es handelt sich um ein internes Konto, das nicht im Benutzer-Manager erscheint, nicht zu Gruppen hinzugefügt werden kann und dem keine Benutzerberechtigungen zugeordnet werden können. Andererseits erscheint das Systemkonto auf einem NTFS-Datenträger im Datei-Manager im Menü Sicherheit unter Berechtigungen. Standardmäßig hat das Systemkonto Vollzugriff auf alle Dateien auf einem NTFS-Datenträger. Hier hat das Systemkonto dieselben Funktionsberechtigungen wie das Administratorkonto.
LG
ticuta1
Danke für die Info. Ich verstehe den Sinn hinter einem System Konto, allerdings erschließt sich mir nur nicht in dem Fall warum ein IIS Prozess sich immer wieder versucht mit einem System Konto anzumelden. Zumal an den Einstellungen der Dienste etc. nichts geändert wurde.
Zitat von @Daniel.Wenzel:
Danke für die Info. Ich verstehe den Sinn hinter einem System Konto, allerdings erschließt sich mir nur nicht in dem
Fall warum ein IIS Prozess sich immer wieder versucht mit einem System Konto anzumelden. Zumal an den Einstellungen der Dienste
etc. nichts geändert wurde.
Vielleicht weil kein Zugang mehr möglich ist (wegen Kennwortablauf)Danke für die Info. Ich verstehe den Sinn hinter einem System Konto, allerdings erschließt sich mir nur nicht in dem
Fall warum ein IIS Prozess sich immer wieder versucht mit einem System Konto anzumelden. Zumal an den Einstellungen der Dienste
etc. nichts geändert wurde.
oder vielleicht weil eine IIS Abfrage authentifiiert werden soll
LG,
ticuta1
Ok, danke erstmal.
