Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2003, Ereignisanzeige für Remotezugriff

Frage Microsoft Windows Server

Mitglied: sigidesch

sigidesch (Level 1) - Jetzt verbinden

28.02.2013 um 10:43 Uhr, 2434 Aufrufe, 6 Kommentare

Hallo,
wir haben in unserem Büro einen Daten- und Exchange Server (Win 2003) in Betrieb.
Ich möchte gerne die externen Zugriffe (über Remote) auf den Server nachvollziehen.

In der Ereignisanzeige wird doch z.B. unter Sicherheit die An-/Abmeldung der Benutzer registriert.
Ist hier vielleicht ersichtlich, wenn sich jemand "von außen" auf den Server einwählt? Einen entsprechenden Benutzer sehe ich jedenfalls nicht. Es werden blos die Computernamen im lokalen Netzwerk registriert. Oder übersehe ich was?

Vielen Dank für eure Hilfe.
Sigi
Mitglied: ricochico
28.02.2013 um 11:20 Uhr
Hallo,

Zitat von sigidesch:
In der Ereignisanzeige wird doch z.B. unter Sicherheit die An-/Abmeldung der Benutzer registriert.

Ja. Und zwar der User, der sich am Active Directory anmeldet.

Ist hier vielleicht ersichtlich, wenn sich jemand "von außen" auf den Server einwählt?

Das An/Abmelden in der Ereignisanzeige hat erst mal überhaupt nichts damit zu tun, über welche Art der User mit seinem PC mit eurem Netzwerk verbunden ist.
Er kann über Lan, WLan, VPN, ISDM, Modem, PoE, usw.... verbunden sein.

Wie wählt sich jemand von aussen ein?
Du musst schon genauer erklären, wie sich jemand von "aussen" einwählt.
Verbindet er sich über VPN, ISDN, Modem, WLAN, usw...?
Oder meinst du mit Remote die Remotedesktopfunktion/Terminalserverfunktion und willst wissen wer sich da an und abmeldet?

Einen entsprechenden
Benutzer sehe ich jedenfalls nicht.

Was verstehst du unter einem entsprechenden Benutzer?

Es werden blos die Computernamen im lokalen Netzwerk registriert. Oder übersehe ich was?

Ja.
Nämlich genauere Infos was du unter "aussen" und Remote verstehst.
Bitte warten ..
Mitglied: Pjordorf
28.02.2013 um 12:50 Uhr
Hallo,

Zitat von sigidesch:
In der Ereignisanzeige wird doch z.B. unter Sicherheit die An-/Abmeldung der Benutzer registriert.
Ja.

Ist hier vielleicht ersichtlich, wenn sich jemand "von außen" auf den Server einwählt?
Per RDP? Ja. Ereigniss 552, 528, 576, 683, 682 (Enthält auch die IP des Rechners von wo aus das RDP gemacht wird. Der User ebenfalls. Nur nicht wer sich tatsächlich als User dahinter verbirgt. Oder meinst du etwas anderes?

Einen entsprechenden Benutzer sehe ich jedenfalls nicht.
Es kann dort nur der benutzer auftauchen der sich anmeldet bzw. dies versucht. Du wirst nicht sehen können wer dies auf der lokalen Maschine des aufrufenden Rechners ist. Wie auch?

Die IP des Rechners, Datum und Uhrzeit sollten aber schnell den Übeltäter entlarven der dort am Werke ist und evtl. die Zugangsdaten zum Server hat. Sollte der Rechner aber nicht zu deinem Netz gehören und der Benutzer ebenfalls, hast du ein ganz anderes Problem. Passwörter wechslen. Alle.

Gruß,
Peter
Bitte warten ..
Mitglied: sigidesch
28.02.2013 um 16:14 Uhr
Danke für die rasche Antwort!
Es geht prinzipiell um folgendes: wir haben eine Wartungsvertrag mit einem Dienstleister, welcher wöchentlich einen Blick auf unseren Server wirft. Nun wollte ich dies gerne kontrollieren, ob das auch wirklich gemacht wird.
Ich auch nicht so tief in der Materie (wissenstechnisch), hab eigentlich was anderes gelernt

Also meines Wissens wird über Remote und/oder VPN auf den Server zugegriffen; weiß es nicht genau.
D.h. wie erkenne ich bei den Ereignissen, wer sich "von außen" (außerhalb des lokalen Netzes) auf den Server angemeldet hat; zu diesem Ereigniss sehe ich dann eben das Datum und Uhrzeit.

Wegen den Benutzernamen: zu jeweiligen Datum/Uhrzeiten gibt es eben Eintrage von An/Abmeldungen, Kennnummern und dem Namen "Computer1", "Computer2", etc. hier aber eben keinen "auffälligen" Eintrag über die Wartungs-Anmeldung

Ich hoffe, Ihr könnt mir helfen.

Gruß Sigi
Bitte warten ..
Mitglied: Pjordorf
28.02.2013 um 23:33 Uhr
Hallo,

Zitat von sigidesch:
Also meines Wissens wird über Remote
Remote <> Remote. Etwas genauer wirst du schon werden müssen.

und/oder VPN
Wer baut das VPN auf? Der Client? Site to Site? Der Router Terminiert bei dir oder der Server selbst? Wenn dein Server, dann mal ins RRAS Protokoll schauenm. Sonst dort wo VPN Terminiert wird wird auch bestimmt ein Protokoll sein, oder? Da steht auch die IP drin etc. Damit kannst du wieder im Ereignissprotokoll eingrenzen. IP und Uhrzeit sollte dir dann weiter helfen. Es sagt aber keiner das es einfach ist

auf den Server zugegriffen; weiß es nicht genau.
Das solltest du aber wissen, woher willst du sonst wissen wonach du suchen sollst. Da steht nirgends was in Rot das hier der Zugriff war!

D.h. wie erkenne ich bei den Ereignissen, wer sich "von außen" (außerhalb des lokalen Netzes) auf den Server angemeldet hat;
Die IP?

hier aber eben keinen "auffälligen" Eintrag über die Wartungs-Anmeldung
Sagt ja keiner das es Auffällig ist. Es ist doch eine Legitime anmeldung, also zulässig. Und wiedeo sollte da stehen das dies der Eintrag der Anmeldung zur Wartung ist? hat denn der Externe keinen eigenen Benutzernamen? Sehr bedenklich. Wie willst du ihn Sperren wenn es sein müsste? Den einzigen Admin den Zugriff entziehen?

Der Externe hat doch bestimmt eine externe feste IP sowie evtl eine interne feste IP per VPN? Der Externe hat doch bestimmt seinen eigenen Benutzernamen? Der Externe hat doch bestimmte Zeiten wo er sich Anmelden darf? Der Rechnername des Externen ist doch bestimmt bekannt?

Gruß,
Peter
Bitte warten ..
Mitglied: ricochico
01.03.2013, aktualisiert um 13:41 Uhr
Hallo,

Zitat von sigidesch:
Danke für die rasche Antwort!
Es geht prinzipiell um folgendes: wir haben eine Wartungsvertrag mit einem Dienstleister, welcher wöchentlich einen Blick auf
unseren Server wirft. Nun wollte ich dies gerne kontrollieren, ob das auch wirklich gemacht wird.

Auch wir führen Wartungen bei Kunden durch.
Wir müssen jede Wartung mit Datum und Uhrzeit und die durchgeführten Tätigkeiten an die Firma übermitteln.
Soll bedeuten, die Firma bei der die Wartung durchgeführt wurde, bekommt per email ein Protokoll:
z.B. am Tag XXX um Uhrzeit YYY wurde die Sicherung kontrolliert, Ereignisanzeige kontrolliert, USV kontrolliert, Vierenschutze, Raid, Fehler behoben, usw...

Fordert ein Protokoll an vom Dienstleister.
Du könntest auch eine einfaches Dokument auf dem Server anlegen, in dem der Dienstleister sich eintragen muss, sobald er eine Wartung durchgeführt hat.
Datum
Uhrzeit
Techniker der die Wartung ausgeführt hat
Tätigkeitsbericht
usw...

Ich auch nicht so tief in der Materie (wissenstechnisch), hab eigentlich was anderes gelernt

Verständlich.

Also meines Wissens wird über Remote und/oder VPN auf den Server zugegriffen; weiß es nicht genau.

Das könnte z.B auch über Teamviewer oder Netviewer erfolgen.
Das müsst ihr einfach abklären und schriftlich festhalten.
Und fordert ein Protokoll an, sobald eine Wartung ausgeführt wurde.
Ihr müsst ja für die Wartung auch regelmäßig bezahlen.

D.h. wie erkenne ich bei den Ereignissen, wer sich "von außen" (außerhalb des lokalen Netzes) auf den Server
angemeldet hat; zu diesem Ereigniss sehe ich dann eben das Datum und Uhrzeit.

Wie gesagt, dazu musst du vom Dienstleister in Erfahrung bringen, wie er sich bei euch einwählt bzw. aufschaltet.
VPN, Wartungstools wie Teamviewer, Netviewer, VNC, ISDN, eigener Benutzername, usw...
Fragt doch einfach mal nach.

Wegen den Benutzernamen: zu jeweiligen Datum/Uhrzeiten gibt es eben Eintrage von An/Abmeldungen, Kennnummern und dem Namen
"Computer1", "Computer2", etc. hier aber eben keinen "auffälligen" Eintrag über die
Wartungs-Anmeldung

Du fischt im trüben und verbrauchst sinnlos Zeit.
Es ist ein Dienstleister. Ihr zahlt, ihr fordert.

Ich hoffe, Ihr könnt mir helfen.

Ich hoffe geholfen zu haben.
Bitte warten ..
Mitglied: sigidesch
01.03.2013 um 18:28 Uhr
Danke für die Antworten!
Es gibt regelmäßige Protokolle, aber die wollte ich eben Kontrollieren ob die wirklich auf dem Server drauf waren und nicht einfach das Protokoll "erstellt" haben.
Da ich wohl jetzt "auf die schnelle" rausfinden ob und wie sich die angemeldet haben, werd ich wohl nochmal nachfragen müssen, wie die es machen.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Probleme bei Remotezugriff
Frage von simonseNetzwerkmanagement5 Kommentare

Hallo zusammen Seit kurzer Zeit habe ich ein Problem mit dem Remotezugriff der bis anhin immer fehlerfrei funktioniert hat. ...

Netzwerkmanagement
Remotezugriff auf Netzwerke
gelöst Frage von dirkfinkeNetzwerkmanagement9 Kommentare

Hallo, ich möchte von außen die PCs zweier Subnetze warten. Mit Teamviewer komme ich aber nur auf die Rechner ...

Windows Server
Wie ändere ich den Font in der Ereignisanzeige am Server 2008R2?
gelöst Frage von gogoschWindows Server17 Kommentare

Nach einem Stromausfall stellt sich die Ereignisanzeige für den User "Administrator" in einem seltsamen Font, ähnlich "Achen bold" dar. ...

Windows Server
Windows Server 2012 R2 Rolle Remotezugriff lässt sich nicht installieren Fehlercode 0xc004000d
gelöst Frage von MultiStormWindows Server21 Kommentare

Hallo zusammen, ich versuche gerade auf einem Windows Server 2k12 die Rolle Remitezugriff zu installieren um einen VPN Server ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 16 StundenMicrosoft Office6 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 18 StundenDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 19 StundenSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 21 StundenMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...

Server-Hardware
Veeam Backup Server stürzt alle paar Tage ab
Frage von Leo-leServer-Hardware12 Kommentare

Hallo Forum, ich habe momentan folgendes Problem. Veeam Backup and Replication 9.5 u2 auf voll gepatchten DL 380 G7 ...

Batch & Shell
Dateien verschieben mit batch
gelöst Frage von michi-ffmBatch & Shell10 Kommentare

Hallo Zusammen hat jemand evtl eine Idee? Zunächst hier das Skript: Leider werden keine UNC-Pfade unterstüzt, kann mir jemand ...

LAN, WAN, Wireless
NETZWERKAUFBAU - VERKABELUNG - GRUNDLEGENDES
Frage von hobbymieterLAN, WAN, Wireless10 Kommentare

Hallo, ich habe mal eine Frage bezüglich der LAN-Verkabelung in einem Haus. Und zwar ziehen wir demnächst ins Elternhaus, ...