Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows SRV 2008 SMB - User Logon am Exchange Server über Outlook schlägt nur an einem PC fehl. Alle anderen OK.

Frage Linux Samba

Mitglied: wolfgam

wolfgam (Level 1) - Jetzt verbinden

26.05.2011, aktualisiert 14:51 Uhr, 5711 Aufrufe, 1 Kommentar

Hallo Forum,

wir betreiben ein kleines Netzwerk mit Windows SRV W2008 SMB als DC. Mails gehen über den integrierten Exchange Server.

Problem:
Ein PC (WIN 7 Prof.) im Netzwerk kann sich nicht mehr mit Outlook am Exchange Server (LAN Standard Protokoll) anmelden.
Alle anderen Anmeldungen (z.B. Laufwerksfreigaben etc.) klappen prima.

Mit identischen Einstellungen (UserID+ PW, Mail) an einem anderen PC im LAN (WIN 7 Prof) klappt es.
(alle PCs im LAN sind bzgl Outlook/Exchange Server identisch konfiguriert)

Der Fehler tritt erst seit der Installation eines Download Managers am betroffenen PC auf (haben wir natürlich wieder entfernt).
Ich vermute dass sich in den Netzwerkeinstellungen etwas geändert hat.
Um das Problem zu analysieren, habe ich die An/Abmeldungen am Server (Eventlog) protokolliert.
Ich habe eine erfolgreiche Anmeldung als auch die Fehlerhafte versucht zu analysieren.

Leider verstehe ich nicht so recht was vor sich geht...

Die erfolgreiche Anmeldung sie wie folgt aus (Details, siehe im Log unten):
Schritt 1) Protokoll: Security, ID: 4776, Überwachung gescheitert, Überprüfung der Anmeldinformationen
Schritt 2) Protokoll: Security, ID: 4625, Überwachung gescheitert, Anmelden
Schritt 3) Protokoll: Security, ID: 4776, Überwachung erfolgreich, Überprüfung der Anmeldinformationen
Schritt 4) Protokoll: Security, ID: 4624, Überwachung erfolgreich, Anmelden
Schritt 5) Protokoll: Security, ID: 4776, Überwachung erfolgreich, Überprüfung der Anmeldinformationen
Schritt 6) Protokoll: Security, ID: 4624, Überwachung erfolgreich, Anmelden

Frage dazu: wieso gehen einer erfolgreichen Anmeldung 2 gescheiterte Versuche voraus?


Die fehlerhafte Anmeldung sie wie folgt aus (Details, siehe im Log unten):
Schritt 1) Protokoll: Security, ID: 4672, Überwachung erfolgreich, spezielle Anmeldung
Schritt 2) Protokoll: Security, ID: 4624, Überwachung erfolgreich, Anmelden
Schritt 3) Protokoll: Security, ID: 4776, Überwachung gescheitert, Überprüfung der Anmeldinformationen
Schritt 4) Protokoll: Security, ID: 4625, Überwachung gescheitert, Fehler beim Anmelden des Kontos
Schritt 5) Protokoll: Security, ID: 4776, Überwachung gescheitert, Überprüfung der Anmeldinformationen
Schritt 6) Protokoll: Security, ID: 4625, Überwachung gescheitert, Fehler beim Anmelden des Kontos

Frage dazu: Der Anmeldevorgang sieht anders aus. Wieso gibt es hier eine Spezielle Anmeldung? Ich sehe auch eine Kerberos Authentifizierung.

Gruß
Wolfgam

Protokoll der fehlerhaften Anmeldung:

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:51
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: wm
Kontodomäne: BCC-SRV-W2008

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: WM
Quellnetzwerkadresse: 192.168.89.6
Quellport: 49501

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:51.015Z" />
<EventRecordID>80490793</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">BCC-SRV-W2008</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">WM</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.6</Data>
<Data Name="IpPort">49501</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:51
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: WM
Fehlercode: 0xc0000064
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:51.000Z" />
<EventRecordID>80490792</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">WM</Data>
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:47
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: wm
Kontodomäne: WM

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc000006a

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: WM
Quellnetzwerkadresse: 192.168.89.6
Quellport: 49500

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:47.312Z" />
<EventRecordID>80490791</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">WM</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">WM</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.6</Data>
<Data Name="IpPort">49500</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:47
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: WM
Fehlercode: 0xc000006a
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:47.312Z" />
<EventRecordID>80490790</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">WM</Data>
<Data Name="Status">0xc000006a</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:50:46
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: BCC-SRV-W2008$
Kontodomäne: BCC
Anmelde-ID: 0xbb51a6ba
Anmelde-GUID: {C55D07BB-0B56-59F9-B286-B392E69FE635}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: ::1
Quellport: 30248

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:46.484Z" />
<EventRecordID>80490789</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9032" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">BCC-SRV-W2008$</Data>
<Data Name="TargetDomainName">BCC</Data>
<Data Name="TargetLogonId">0xbb51a6ba</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{C55D07BB-0B56-59F9-B286-B392E69FE635}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">::1</Data>
<Data Name="IpPort">30248</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: "Microsoft-Windows-Security-Auditing"
Datum: 26.05.2011 09:50:46
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: BCC-SRV-W2008$
Kontodomäne: BCC
Anmelde-ID: 0xbb51a6ba

Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:50:46.484Z" />
<EventRecordID>80490788</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9032" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">BCC-SRV-W2008$</Data>
<Data Name="SubjectDomainName">BCC</Data>
<Data Name="SubjectLogonId">0xbb51a6ba</Data>
<Data Name="PrivilegeList">SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege</Data>
</EventData>
</Event>

Protokoll der erfolgreichen Anmeldung:

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:51
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Neue Anmeldung:
Sicherheits-ID: BCC\wm
Kontoname: wm
Kontodomäne: BCC
Anmelde-ID: 0xbb0aa8bc
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname: BCC-BUERO-ACER
Quellnetzwerkadresse: 192.168.89.8
Quellport: 49305

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V2
Schlüssellänge: 128

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:51.031Z" />
<EventRecordID>80490603</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="1020" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-21-3095468367-2432452330-4217768669-1145</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">BCC</Data>
<Data Name="TargetLogonId">0xbb0aa8bc</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">BCC-BUERO-ACER</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">NTLM V2</Data>
<Data Name="KeyLength">128</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.8</Data>
<Data Name="IpPort">49305</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:51
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: BCC-BUERO-ACER
Fehlercode: 0x0
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:51.031Z" />
<EventRecordID>80490602</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="1020" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">BCC-BUERO-ACER</Data>
<Data Name="Status">0x0</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:50
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Neue Anmeldung:
Sicherheits-ID: BCC\wm
Kontoname: wm
Kontodomäne: BCC
Anmelde-ID: 0xbb0aa804
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname: BCC-BUERO-ACER
Quellnetzwerkadresse: 192.168.89.8
Quellport: 49304

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V2
Schlüssellänge: 128

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:50.531Z" />
<EventRecordID>80490601</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-21-3095468367-2432452330-4217768669-1145</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="TargetDomainName">BCC</Data>
<Data Name="TargetLogonId">0xbb0aa804</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">BCC-BUERO-ACER</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">NTLM V2</Data>
<Data Name="KeyLength">128</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.8</Data>
<Data Name="IpPort">49304</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:50
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: wm
Quellarbeitsstation: BCC-BUERO-ACER
Fehlercode: 0x0
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:50.531Z" />
<EventRecordID>80490600</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="5396" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">wm</Data>
<Data Name="Workstation">BCC-BUERO-ACER</Data>
<Data Name="Status">0x0</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:41
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: WM
Kontodomäne: BCC-BUERO-ACER

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc000006a

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: BCC-BUERO-ACER
Quellnetzwerkadresse: 192.168.89.8
Quellport: 49303

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:41.468Z" />
<EventRecordID>80490599</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9008" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">WM</Data>
<Data Name="TargetDomainName">BCC-BUERO-ACER</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">BCC-BUERO-ACER</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.89.8</Data>
<Data Name="IpPort">49303</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.05.2011 09:37:41
Ereignis-ID: 4776
Aufgabenkategorie:Überprüfung der Anmeldeinformationen
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: BCC-SRV-W2008.bcc.local
Beschreibung:
Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: WM
Quellarbeitsstation: BCC-BUERO-ACER
Fehlercode: 0xc000006a
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-05-26T07:37:41.468Z" />
<EventRecordID>80490598</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9008" />
<Channel>Security</Channel>
<Computer>BCC-SRV-W2008.bcc.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">WM</Data>
<Data Name="Workstation">BCC-BUERO-ACER</Data>
<Data Name="Status">0xc000006a</Data>
</EventData>
</Event>
Mitglied: mpmichael
26.05.2011 um 15:24 Uhr
Erst die banale Frage. Schon versucht den betroffenen Rechner aus der Domain zu entfernen und dann weider aufzunehmen?
Grüße
mpmichael
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows und Exchange Server 2016 Betrieb vorerst ohne CALs (2)

Frage von deelite zum Thema Windows Server ...

Exchange Server
gelöst Exchange Server 2010 auf Windows Server 2016 (4)

Frage von Herbrich19 zum Thema Exchange Server ...

Exchange Server
gelöst Exchange Server - User bekommt öffentlichen Ordner nicht angezeigt (4)

Frage von infostud zum Thema Exchange Server ...

Exchange Server
Update Exchange Server 2013 con CU13 auf CU15 Windows Server 2012 R2 (14)

Frage von MaxMoritz6 zum Thema Exchange Server ...

Neue Wissensbeiträge
Batch & Shell

Batch - ein paar Basics die man kennen sollte

Tipp von Pedant zum Thema Batch & Shell ...

Microsoft

Restrictor: Profi-Schutz für jedes Window

(4)

Tipp von AlFalcone zum Thema Microsoft ...

Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft Office
Saubere HTML aus Word-Dokument (16)

Frage von peterpa zum Thema Microsoft Office ...

Router & Routing
ASUS RT-N18U mit VPN Client hinter Fritzbox - Portforwarding (15)

Frage von marshall75000 zum Thema Router & Routing ...

Hosting & Housing
gelöst Webserver bei WIX, aber DNS Server wo anders (9)

Frage von laster zum Thema Hosting & Housing ...