Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zu event id 4768 Win Server 2008

Frage Microsoft Windows Server

Mitglied: Nuggler

Nuggler (Level 1) - Jetzt verbinden

13.02.2015 um 10:04 Uhr, 699 Aufrufe, 1 Kommentar

Hallo Leute,

ich habe mal eine Frage zur Event ID 4768.
Ich weiß zwar was mir die Meldung sagt, aber ich verstehe in meinem Fall einfach nicht wo die herkommt,
bzw wie ich die deuten soll....
Vielleicht übersehe ich auch etwas ganz einfaches, aber ich wäre für einen Denkanstoß dankbar....

Folgender Systemaufbau:
Windows Server 2008, als ActiveDirectory, IP 192.168.2.10
Auf dem Server läuft eine WinXP Pro VM, IP 192.168.2.11
In dem Speedport Router ist der Port 3389 für RDP offen und an die
XP-VM weitergeleitet.
Der Rest vom Internen Netzwerk ist denke ich mal nicht von Bedeutung..

---> Ich weiß dass RDP über 3389 absolut unsicher ist!!!!!!! darum geht es mir hier
auch nicht. Ich möchte versuchen die Meldung zu verstehen.



Im Eventlog vom Server kommt ständig die Event-ID 4768 mit folgenden Daten:

Kontoname: owner
Angegebener Bereichsname: meinedomain
Benutzer-ID: NULL SID

Dienstname: krbtgt/meinedomain
Dienst-ID: NULL SID

Netzwerkinformationen:
Clientadresse: 192.168.2.11
Clientport: 2180

Weitere Informationen:
Ticketoptionen: 0x40810010
Ergebniscode: 0x6
Ticketverschlüsselungstyp: 0xffffffff
Typ vor der Authentifizierung: -



Da die Meldung schnell hintereinander auftritt, mit verschiedenen Kontennamen, dachte ich an einen
Bruteforce Angriff über RDP. Der Ergebniscode 0x6 heißt dass es das Konto nicht gibt im AD. Das ist auch
richtig.

Auf der WinXP Maschine ist das Eventlog sauber.

Was ich nicht verstehe ist: Die fehlgeschlagene Anmeldung kommt von der XP Maschine, das sagt mir
die Zeile "Clientadresse:..."
Aber warum auf Port 2180?

Und: nicht nur die Kontennamen wechseln, sondern die Clientports sind auch immer unterschiedlich (zwischen 0 und 4000)

Die Xp-Maschine ist laut Virenscanner sauber...

Könnt Ihr mir einen Denkanstoß geben wo ich anfangen kann nach der Ursache zu suchen?
Und natürlich ist Absichern via VPN der richtige Schritt, im Produktivsystem ist das auch existent,
aber ich würde gerne wissen was da zur Zeit in meinem System abgeht...


vielen Dank schonmal,
grüße Nuggler
Mitglied: sk-it83
13.02.2015 um 12:46 Uhr
Moin,

XP Maschine und Port 3389, was willste da jetzt von uns?

7er Kiste aufsetzen, VPN einrichten und du bist die Meldung los.

Schönes WE und

VG
Bitte warten ..
Ähnliche Inhalte
Windows Server
Event ID 78
Frage von rocco61Windows Server1 Kommentar

Guten Morgen zusammen, habe auf dem Server 2012 R2 eine sidebyside Fehlermeldung, event id 78. Bei eventid.net werde ich ...

Windows Server
Event ID 10016
gelöst Frage von Data61Windows Server2 Kommentare

Hallo zusammen, habe seit einigen Tagen die Event ID 10016 im Protokoll auf dem 2012 r2 Server. Microsoft schreibt ...

Exchange Server
Event ID 1023 "MSExchangeIS"
Frage von 125674Exchange Server5 Kommentare

Guten Abend. seit neuerdem taucht diese Ereignismeldung auf: Leider finde ich in google nichts was funktionierte. habt ihr ähnliche ...

Papierkorb
Event ID 4231 - keine Verbindungen zu einem Server möglich
Tipp von geocastPapierkorb1 Kommentar

Da ich das Probleme lange hatte und auch hier im Forum welche gefunden habe mit dem gleichen Problem, dachte ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 12 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 16 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 16 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 19 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...