Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2003, Ereignisanzeige für Remotezugriff

Frage Microsoft Windows Server

Mitglied: sigidesch

sigidesch (Level 1) - Jetzt verbinden

28.02.2013 um 10:43 Uhr, 2339 Aufrufe, 6 Kommentare

Hallo,
wir haben in unserem Büro einen Daten- und Exchange Server (Win 2003) in Betrieb.
Ich möchte gerne die externen Zugriffe (über Remote) auf den Server nachvollziehen.

In der Ereignisanzeige wird doch z.B. unter Sicherheit die An-/Abmeldung der Benutzer registriert.
Ist hier vielleicht ersichtlich, wenn sich jemand "von außen" auf den Server einwählt? Einen entsprechenden Benutzer sehe ich jedenfalls nicht. Es werden blos die Computernamen im lokalen Netzwerk registriert. Oder übersehe ich was?

Vielen Dank für eure Hilfe.
Sigi
Mitglied: ricochico
28.02.2013 um 11:20 Uhr
Hallo,

Zitat von sigidesch:
In der Ereignisanzeige wird doch z.B. unter Sicherheit die An-/Abmeldung der Benutzer registriert.

Ja. Und zwar der User, der sich am Active Directory anmeldet.

Ist hier vielleicht ersichtlich, wenn sich jemand "von außen" auf den Server einwählt?

Das An/Abmelden in der Ereignisanzeige hat erst mal überhaupt nichts damit zu tun, über welche Art der User mit seinem PC mit eurem Netzwerk verbunden ist.
Er kann über Lan, WLan, VPN, ISDM, Modem, PoE, usw.... verbunden sein.

Wie wählt sich jemand von aussen ein?
Du musst schon genauer erklären, wie sich jemand von "aussen" einwählt.
Verbindet er sich über VPN, ISDN, Modem, WLAN, usw...?
Oder meinst du mit Remote die Remotedesktopfunktion/Terminalserverfunktion und willst wissen wer sich da an und abmeldet?

Einen entsprechenden
Benutzer sehe ich jedenfalls nicht.

Was verstehst du unter einem entsprechenden Benutzer?

Es werden blos die Computernamen im lokalen Netzwerk registriert. Oder übersehe ich was?

Ja.
Nämlich genauere Infos was du unter "aussen" und Remote verstehst.
Bitte warten ..
Mitglied: Pjordorf
28.02.2013 um 12:50 Uhr
Hallo,

Zitat von sigidesch:
In der Ereignisanzeige wird doch z.B. unter Sicherheit die An-/Abmeldung der Benutzer registriert.
Ja.

Ist hier vielleicht ersichtlich, wenn sich jemand "von außen" auf den Server einwählt?
Per RDP? Ja. Ereigniss 552, 528, 576, 683, 682 (Enthält auch die IP des Rechners von wo aus das RDP gemacht wird. Der User ebenfalls. Nur nicht wer sich tatsächlich als User dahinter verbirgt. Oder meinst du etwas anderes?

Einen entsprechenden Benutzer sehe ich jedenfalls nicht.
Es kann dort nur der benutzer auftauchen der sich anmeldet bzw. dies versucht. Du wirst nicht sehen können wer dies auf der lokalen Maschine des aufrufenden Rechners ist. Wie auch?

Die IP des Rechners, Datum und Uhrzeit sollten aber schnell den Übeltäter entlarven der dort am Werke ist und evtl. die Zugangsdaten zum Server hat. Sollte der Rechner aber nicht zu deinem Netz gehören und der Benutzer ebenfalls, hast du ein ganz anderes Problem. Passwörter wechslen. Alle.

Gruß,
Peter
Bitte warten ..
Mitglied: sigidesch
28.02.2013 um 16:14 Uhr
Danke für die rasche Antwort!
Es geht prinzipiell um folgendes: wir haben eine Wartungsvertrag mit einem Dienstleister, welcher wöchentlich einen Blick auf unseren Server wirft. Nun wollte ich dies gerne kontrollieren, ob das auch wirklich gemacht wird.
Ich auch nicht so tief in der Materie (wissenstechnisch), hab eigentlich was anderes gelernt

Also meines Wissens wird über Remote und/oder VPN auf den Server zugegriffen; weiß es nicht genau.
D.h. wie erkenne ich bei den Ereignissen, wer sich "von außen" (außerhalb des lokalen Netzes) auf den Server angemeldet hat; zu diesem Ereigniss sehe ich dann eben das Datum und Uhrzeit.

Wegen den Benutzernamen: zu jeweiligen Datum/Uhrzeiten gibt es eben Eintrage von An/Abmeldungen, Kennnummern und dem Namen "Computer1", "Computer2", etc. hier aber eben keinen "auffälligen" Eintrag über die Wartungs-Anmeldung

Ich hoffe, Ihr könnt mir helfen.

Gruß Sigi
Bitte warten ..
Mitglied: Pjordorf
28.02.2013 um 23:33 Uhr
Hallo,

Zitat von sigidesch:
Also meines Wissens wird über Remote
Remote <> Remote. Etwas genauer wirst du schon werden müssen.

und/oder VPN
Wer baut das VPN auf? Der Client? Site to Site? Der Router Terminiert bei dir oder der Server selbst? Wenn dein Server, dann mal ins RRAS Protokoll schauenm. Sonst dort wo VPN Terminiert wird wird auch bestimmt ein Protokoll sein, oder? Da steht auch die IP drin etc. Damit kannst du wieder im Ereignissprotokoll eingrenzen. IP und Uhrzeit sollte dir dann weiter helfen. Es sagt aber keiner das es einfach ist

auf den Server zugegriffen; weiß es nicht genau.
Das solltest du aber wissen, woher willst du sonst wissen wonach du suchen sollst. Da steht nirgends was in Rot das hier der Zugriff war!

D.h. wie erkenne ich bei den Ereignissen, wer sich "von außen" (außerhalb des lokalen Netzes) auf den Server angemeldet hat;
Die IP?

hier aber eben keinen "auffälligen" Eintrag über die Wartungs-Anmeldung
Sagt ja keiner das es Auffällig ist. Es ist doch eine Legitime anmeldung, also zulässig. Und wiedeo sollte da stehen das dies der Eintrag der Anmeldung zur Wartung ist? hat denn der Externe keinen eigenen Benutzernamen? Sehr bedenklich. Wie willst du ihn Sperren wenn es sein müsste? Den einzigen Admin den Zugriff entziehen?

Der Externe hat doch bestimmt eine externe feste IP sowie evtl eine interne feste IP per VPN? Der Externe hat doch bestimmt seinen eigenen Benutzernamen? Der Externe hat doch bestimmte Zeiten wo er sich Anmelden darf? Der Rechnername des Externen ist doch bestimmt bekannt?

Gruß,
Peter
Bitte warten ..
Mitglied: ricochico
01.03.2013, aktualisiert um 13:41 Uhr
Hallo,

Zitat von sigidesch:
Danke für die rasche Antwort!
Es geht prinzipiell um folgendes: wir haben eine Wartungsvertrag mit einem Dienstleister, welcher wöchentlich einen Blick auf
unseren Server wirft. Nun wollte ich dies gerne kontrollieren, ob das auch wirklich gemacht wird.

Auch wir führen Wartungen bei Kunden durch.
Wir müssen jede Wartung mit Datum und Uhrzeit und die durchgeführten Tätigkeiten an die Firma übermitteln.
Soll bedeuten, die Firma bei der die Wartung durchgeführt wurde, bekommt per email ein Protokoll:
z.B. am Tag XXX um Uhrzeit YYY wurde die Sicherung kontrolliert, Ereignisanzeige kontrolliert, USV kontrolliert, Vierenschutze, Raid, Fehler behoben, usw...

Fordert ein Protokoll an vom Dienstleister.
Du könntest auch eine einfaches Dokument auf dem Server anlegen, in dem der Dienstleister sich eintragen muss, sobald er eine Wartung durchgeführt hat.
Datum
Uhrzeit
Techniker der die Wartung ausgeführt hat
Tätigkeitsbericht
usw...

Ich auch nicht so tief in der Materie (wissenstechnisch), hab eigentlich was anderes gelernt

Verständlich.

Also meines Wissens wird über Remote und/oder VPN auf den Server zugegriffen; weiß es nicht genau.

Das könnte z.B auch über Teamviewer oder Netviewer erfolgen.
Das müsst ihr einfach abklären und schriftlich festhalten.
Und fordert ein Protokoll an, sobald eine Wartung ausgeführt wurde.
Ihr müsst ja für die Wartung auch regelmäßig bezahlen.

D.h. wie erkenne ich bei den Ereignissen, wer sich "von außen" (außerhalb des lokalen Netzes) auf den Server
angemeldet hat; zu diesem Ereigniss sehe ich dann eben das Datum und Uhrzeit.

Wie gesagt, dazu musst du vom Dienstleister in Erfahrung bringen, wie er sich bei euch einwählt bzw. aufschaltet.
VPN, Wartungstools wie Teamviewer, Netviewer, VNC, ISDN, eigener Benutzername, usw...
Fragt doch einfach mal nach.

Wegen den Benutzernamen: zu jeweiligen Datum/Uhrzeiten gibt es eben Eintrage von An/Abmeldungen, Kennnummern und dem Namen
"Computer1", "Computer2", etc. hier aber eben keinen "auffälligen" Eintrag über die
Wartungs-Anmeldung

Du fischt im trüben und verbrauchst sinnlos Zeit.
Es ist ein Dienstleister. Ihr zahlt, ihr fordert.

Ich hoffe, Ihr könnt mir helfen.

Ich hoffe geholfen zu haben.
Bitte warten ..
Mitglied: sigidesch
01.03.2013 um 18:28 Uhr
Danke für die Antworten!
Es gibt regelmäßige Protokolle, aber die wollte ich eben Kontrollieren ob die wirklich auf dem Server drauf waren und nicht einfach das Protokoll "erstellt" haben.
Da ich wohl jetzt "auf die schnelle" rausfinden ob und wie sich die angemeldet haben, werd ich wohl nochmal nachfragen müssen, wie die es machen.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...