Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zu event id 4768 Win Server 2008

Frage Microsoft Windows Server

Mitglied: Nuggler

Nuggler (Level 1) - Jetzt verbinden

13.02.2015 um 10:04 Uhr, 602 Aufrufe, 1 Kommentar

Hallo Leute,

ich habe mal eine Frage zur Event ID 4768.
Ich weiß zwar was mir die Meldung sagt, aber ich verstehe in meinem Fall einfach nicht wo die herkommt,
bzw wie ich die deuten soll....
Vielleicht übersehe ich auch etwas ganz einfaches, aber ich wäre für einen Denkanstoß dankbar....

Folgender Systemaufbau:
Windows Server 2008, als ActiveDirectory, IP 192.168.2.10
Auf dem Server läuft eine WinXP Pro VM, IP 192.168.2.11
In dem Speedport Router ist der Port 3389 für RDP offen und an die
XP-VM weitergeleitet.
Der Rest vom Internen Netzwerk ist denke ich mal nicht von Bedeutung..

---> Ich weiß dass RDP über 3389 absolut unsicher ist!!!!!!! darum geht es mir hier
auch nicht. Ich möchte versuchen die Meldung zu verstehen.



Im Eventlog vom Server kommt ständig die Event-ID 4768 mit folgenden Daten:

Kontoname: owner
Angegebener Bereichsname: meinedomain
Benutzer-ID: NULL SID

Dienstname: krbtgt/meinedomain
Dienst-ID: NULL SID

Netzwerkinformationen:
Clientadresse: 192.168.2.11
Clientport: 2180

Weitere Informationen:
Ticketoptionen: 0x40810010
Ergebniscode: 0x6
Ticketverschlüsselungstyp: 0xffffffff
Typ vor der Authentifizierung: -



Da die Meldung schnell hintereinander auftritt, mit verschiedenen Kontennamen, dachte ich an einen
Bruteforce Angriff über RDP. Der Ergebniscode 0x6 heißt dass es das Konto nicht gibt im AD. Das ist auch
richtig.

Auf der WinXP Maschine ist das Eventlog sauber.

Was ich nicht verstehe ist: Die fehlgeschlagene Anmeldung kommt von der XP Maschine, das sagt mir
die Zeile "Clientadresse:..."
Aber warum auf Port 2180?

Und: nicht nur die Kontennamen wechseln, sondern die Clientports sind auch immer unterschiedlich (zwischen 0 und 4000)

Die Xp-Maschine ist laut Virenscanner sauber...

Könnt Ihr mir einen Denkanstoß geben wo ich anfangen kann nach der Ursache zu suchen?
Und natürlich ist Absichern via VPN der richtige Schritt, im Produktivsystem ist das auch existent,
aber ich würde gerne wissen was da zur Zeit in meinem System abgeht...


vielen Dank schonmal,
grüße Nuggler
Mitglied: sk-it83
13.02.2015 um 12:46 Uhr
Moin,

XP Maschine und Port 3389, was willste da jetzt von uns?

7er Kiste aufsetzen, VPN einrichten und du bist die Meldung los.

Schönes WE und

VG
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst GPO greift unter win server 2008, unter win7 nicht (5)

Frage von sayohh zum Thema Windows Server ...

Windows Server
gelöst SQL Server 2008 überlappender E A Vorgang, Fehler ID 997 (4)

Frage von Timx zum Thema Windows Server ...

Windows Server
gelöst NTP Server auf einem Windows Server 2008 R2 DC standardmäßig schon drauf? (11)

Frage von M.Marz zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...