Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zu event id 4768 Win Server 2008

Frage Microsoft Windows Server

Mitglied: Nuggler

Nuggler (Level 1) - Jetzt verbinden

13.02.2015 um 10:04 Uhr, 683 Aufrufe, 1 Kommentar

Hallo Leute,

ich habe mal eine Frage zur Event ID 4768.
Ich weiß zwar was mir die Meldung sagt, aber ich verstehe in meinem Fall einfach nicht wo die herkommt,
bzw wie ich die deuten soll....
Vielleicht übersehe ich auch etwas ganz einfaches, aber ich wäre für einen Denkanstoß dankbar....

Folgender Systemaufbau:
Windows Server 2008, als ActiveDirectory, IP 192.168.2.10
Auf dem Server läuft eine WinXP Pro VM, IP 192.168.2.11
In dem Speedport Router ist der Port 3389 für RDP offen und an die
XP-VM weitergeleitet.
Der Rest vom Internen Netzwerk ist denke ich mal nicht von Bedeutung..

---> Ich weiß dass RDP über 3389 absolut unsicher ist!!!!!!! darum geht es mir hier
auch nicht. Ich möchte versuchen die Meldung zu verstehen.



Im Eventlog vom Server kommt ständig die Event-ID 4768 mit folgenden Daten:

Kontoname: owner
Angegebener Bereichsname: meinedomain
Benutzer-ID: NULL SID

Dienstname: krbtgt/meinedomain
Dienst-ID: NULL SID

Netzwerkinformationen:
Clientadresse: 192.168.2.11
Clientport: 2180

Weitere Informationen:
Ticketoptionen: 0x40810010
Ergebniscode: 0x6
Ticketverschlüsselungstyp: 0xffffffff
Typ vor der Authentifizierung: -



Da die Meldung schnell hintereinander auftritt, mit verschiedenen Kontennamen, dachte ich an einen
Bruteforce Angriff über RDP. Der Ergebniscode 0x6 heißt dass es das Konto nicht gibt im AD. Das ist auch
richtig.

Auf der WinXP Maschine ist das Eventlog sauber.

Was ich nicht verstehe ist: Die fehlgeschlagene Anmeldung kommt von der XP Maschine, das sagt mir
die Zeile "Clientadresse:..."
Aber warum auf Port 2180?

Und: nicht nur die Kontennamen wechseln, sondern die Clientports sind auch immer unterschiedlich (zwischen 0 und 4000)

Die Xp-Maschine ist laut Virenscanner sauber...

Könnt Ihr mir einen Denkanstoß geben wo ich anfangen kann nach der Ursache zu suchen?
Und natürlich ist Absichern via VPN der richtige Schritt, im Produktivsystem ist das auch existent,
aber ich würde gerne wissen was da zur Zeit in meinem System abgeht...


vielen Dank schonmal,
grüße Nuggler
Mitglied: sk-it83
13.02.2015 um 12:46 Uhr
Moin,

XP Maschine und Port 3389, was willste da jetzt von uns?

7er Kiste aufsetzen, VPN einrichten und du bist die Meldung los.

Schönes WE und

VG
Bitte warten ..
Ähnliche Inhalte
Windows Update
gelöst WSUS Event IDs 2008, 2008 R2, 2012 und 2012 R2 (5)

Frage von agentjoe1988 zum Thema Windows Update ...

Papierkorb
Event ID 4231 - keine Verbindungen zu einem Server möglich (1)

Tipp von geocast zum Thema Papierkorb ...

Windows Server
Event ID: 1003 - Windows Server 2012 R2 (1)

Frage von peterpa zum Thema Windows Server ...

Windows Server
gelöst Task Scheduler . Triggern nach Instanz ID (3)

Frage von fireskyer zum Thema Windows Server ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows 10
Seekrank bei Windows 10 (18)

Frage von zauberer123 zum Thema Windows 10 ...

Windows 10
Windows 10 Fall Creators Update Fehler (13)

Frage von ZeroCool23 zum Thema Windows 10 ...

Router & Routing
gelöst Getrenntes Routing bei VoIP und Daten (12)

Frage von Hobbystern zum Thema Router & Routing ...