Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows SRV 2008 SMB - User Logon am Exchange Server über Outlook schlägt nur an einem PC fehl. Alle anderen OK.

Frage Linux Samba

Mitglied: wolfgam

wolfgam (Level 1) - Jetzt verbinden

26.05.2011, aktualisiert 14:51 Uhr, 5557 Aufrufe, 1 Kommentar

Hallo Forum,

wir betreiben ein kleines Netzwerk mit Windows SRV W2008 SMB als DC. Mails gehen über den integrierten Exchange Server.

Problem:
Ein PC (WIN 7 Prof.) im Netzwerk kann sich nicht mehr mit Outlook am Exchange Server (LAN Standard Protokoll) anmelden.
Alle anderen Anmeldungen (z.B. Laufwerksfreigaben etc.) klappen prima.

Mit identischen Einstellungen (UserID+ PW, Mail) an einem anderen PC im LAN (WIN 7 Prof) klappt es.
(alle PCs im LAN sind bzgl Outlook/Exchange Server identisch konfiguriert)

Der Fehler tritt erst seit der Installation eines Download Managers am betroffenen PC auf (haben wir natürlich wieder entfernt).
Ich vermute dass sich in den Netzwerkeinstellungen etwas geändert hat.
Um das Problem zu analysieren, habe ich die An/Abmeldungen am Server (Eventlog) protokolliert.
Ich habe eine erfolgreiche Anmeldung als auch die Fehlerhafte versucht zu analysieren.

Leider verstehe ich nicht so recht was vor sich geht...

Die erfolgreiche Anmeldung sie wie folgt aus (Details, siehe im Log unten):
Schritt 1) Protokoll: Security, ID: 4776, Überwachung gescheitert, Überprüfung der Anmeldinformationen
Schritt 2) Protokoll: Security, ID: 4625, Überwachung gescheitert, Anmelden
Schritt 3) Protokoll: Security, ID: 4776, Überwachung erfolgreich, Überprüfung der Anmeldinformationen
Schritt 4) Protokoll: Security, ID: 4624, Überwachung erfolgreich, Anmelden
Schritt 5) Protokoll: Security, ID: 4776, Überwachung erfolgreich, Überprüfung der Anmeldinformationen
Schritt 6) Protokoll: Security, ID: 4624, Überwachung erfolgreich, Anmelden

Frage dazu: wieso gehen einer erfolgreichen Anmeldung 2 gescheiterte Versuche voraus?


Die fehlerhafte Anmeldung sie wie folgt aus (Details, siehe im Log unten):
Schritt 1) Protokoll: Security, ID: 4672, Überwachung erfolgreich, spezielle Anmeldung
Schritt 2) Protokoll: Security, ID: 4624, Überwachung erfolgreich, Anmelden
Schritt 3) Protokoll: Security, ID: 4776, Überwachung gescheitert, Überprüfung der Anmeldinformationen
Schritt 4) Protokoll: Security, ID: 4625, Überwachung gescheitert, Fehler beim Anmelden des Kontos
Schritt 5) Protokoll: Security, ID: 4776, Überwachung gescheitert, Überprüfung der Anmeldinformationen
Schritt 6) Protokoll: Security, ID: 4625, Überwachung gescheitert, Fehler beim Anmelden des Kontos

Frage dazu: Der Anmeldevorgang sieht anders aus. Wieso gibt es hier eine Spezielle Anmeldung? Ich sehe auch eine Kerberos Authentifizierung.

Gruß
Wolfgam

Protokoll der fehlerhaften Anmeldung:

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:51
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: wm
Kontodomäne: BCC-SRV-W2008

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: WM
Quellnetzwerkadresse: 192.168.89.6
Quellport: 49501

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:51.015Z" />
<EventRecordID>80490793</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">BCC-SRV-W2008</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">WM</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.6</Data>
<Data Name="IpPort">49501</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:51
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: WM
Fehlercode: 0xc0000064
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:51.000Z" />
<EventRecordID>80490792</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">WM</Data>
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:47
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: wm
Kontodomäne: WM

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc000006a

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: WM
Quellnetzwerkadresse: 192.168.89.6
Quellport: 49500

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:47.312Z" />
<EventRecordID>80490791</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">WM</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">WM</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.6</Data>
<Data Name="IpPort">49500</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:47
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: WM
Fehlercode: 0xc000006a
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:47.312Z" />
<EventRecordID>80490790</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">WM</Data>
<Data Name="Status">0xc000006a</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:46
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: BCC-SRV-W2008$
Kontodomäne: BCC
Anmelde-ID: 0xbb51a6ba
Anmelde-GUID: {C55D07BB-0B56-59F9-B286-B392E69FE635}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: ::1
Quellport: 30248

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:46.484Z" />
<EventRecordID>80490789</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9032" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">BCC-SRV-W2008$</Data>
<Data Name="TargetDomainName">BCC</Data>
<Data Name="TargetLogonId">0xbb51a6ba</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{C55D07BB-0B56-59F9-B286-B392E69FE635}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">::1</Data>
<Data Name="IpPort">30248</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: "Microsoft-Windows-Security-Auditing"
Datum: 26.05.2011 09:50:46
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: BCC-SRV-W2008$
Kontodomäne: BCC
Anmelde-ID: 0xbb51a6ba

Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:46.484Z" />
<EventRecordID>80490788</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9032" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">BCC-SRV-W2008$</Data>
<Data Name="SubjectDomainName">BCC</Data>
<Data Name="SubjectLogonId">0xbb51a6ba</Data>
<Data Name="PrivilegeList">SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege</Data>
</EventData>
</Event>

Protokoll der erfolgreichen Anmeldung:

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:51
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Neue Anmeldung:
Sicherheits-ID: BCC\wm
Kontoname: wm
Kontodomäne: BCC
Anmelde-ID: 0xbb0aa8bc
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname: BCC-BUERO-ACER
Quellnetzwerkadresse: 192.168.89.8
Quellport: 49305

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V2
Schlüssellänge: 128

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:51.031Z" />
<EventRecordID>80490603</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="1020" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-21-3095468367-2432452330-4217768669-1145</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">BCC</Data>
<Data Name="TargetLogonId">0xbb0aa8bc</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">BCC-BUERO-ACER</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">NTLM V2</Data>
<Data Name="KeyLength">128</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.8</Data>
<Data Name="IpPort">49305</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:51
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: BCC-BUERO-ACER
Fehlercode: 0x0
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:51.031Z" />
<EventRecordID>80490602</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="1020" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">BCC-BUERO-ACER</Data>
<Data Name="Status">0x0</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:50
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Neue Anmeldung:
Sicherheits-ID: BCC\wm
Kontoname: wm
Kontodomäne: BCC
Anmelde-ID: 0xbb0aa804
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname: BCC-BUERO-ACER
Quellnetzwerkadresse: 192.168.89.8
Quellport: 49304

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V2
Schlüssellänge: 128

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:50.531Z" />
<EventRecordID>80490601</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-21-3095468367-2432452330-4217768669-1145</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">BCC</Data>
<Data Name="TargetLogonId">0xbb0aa804</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">BCC-BUERO-ACER</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">NTLM V2</Data>
<Data Name="KeyLength">128</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.8</Data>
<Data Name="IpPort">49304</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:50
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: BCC-BUERO-ACER
Fehlercode: 0x0
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:50.531Z" />
<EventRecordID>80490600</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">BCC-BUERO-ACER</Data>
<Data Name="Status">0x0</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:41
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: WM
Kontodomäne: BCC-BUERO-ACER

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc000006a

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: BCC-BUERO-ACER
Quellnetzwerkadresse: 192.168.89.8
Quellport: 49303

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:41.468Z" />
<EventRecordID>80490599</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9008" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">WM</Data>
<Data Name="TargetDomainName">BCC-BUERO-ACER</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">BCC-BUERO-ACER</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.8</Data>
<Data Name="IpPort">49303</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:41
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: WM
Quellarbeitsstation: BCC-BUERO-ACER
Fehlercode: 0xc000006a
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:41.468Z" />
<EventRecordID>80490598</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9008" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">WM</Data>
<Data Name="Workstation">BCC-BUERO-ACER</Data>
<Data Name="Status">0xc000006a</Data>
</EventData>
</Event>
Mitglied: mpmichael
26.05.2011 um 15:24 Uhr
Erst die banale Frage. Schon versucht den betroffenen Rechner aus der Domain zu entfernen und dann weider aufzunehmen?
Grüße
mpmichael
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Update
gelöst WSUS Installation unter Server 2012R2 schlägt ständig fehl (3)

Frage von Stefan007 zum Thema Windows Update ...

Exchange Server
Exchange über ActiveSync schlägt sporadisch fehl

Frage von stefts zum Thema Exchange Server ...

Exchange Server
Update on Windows Server 2016 and Exchange Server 2016

Link von Dani zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...