Ereigniskennung: 675 krbtgt

[Alveran]

Seit ein paar Tagen habe ich das Problem das ich genau aller Stunde ca 10 mal folgenden eintrag unter Ereignisanzeige/Sicherheit finde.

Fehlgeschlagene Vorbestätigung:
Benutzername: Administrator
Benutzerkennung: xxxx\Administrator
Dienstname: krbtgt/xxxx
Vorauthentifizierungstyp: 0x2
Fehlercode: 0x18
Clientadresse: 127.0.0.1

Habe den Server schon mehrmals neugestartet. Ohne Erfolg. Es muß irgendein Dienst sein der sich versucht zu starten. Habe irgendwie die Vermutung das das Kerberosticket hin ist.
Wenn sich ander nutzer Anmelden kommt diese Meldung auch. Ansonsten läuft der Server normal.

[Necron]

Hi,

schon unter EventID.Net - Troubleshooting information for Windows event logs nachgeschaut?

[Alveran]

Ja, aber leider nichts auf meinen fall bezogenes gefunden.

[Necron]

Hi,

könntest du noch dazu schreiben um welches OS es sich handelt und welche Dienste auf dem Server laufen?

Ansonsten hätte ich hier einen Anhaltspunkt: UPDATE: Exchange-Server fällen Kerb-Authentifizierung-Server-Anforderungen auf Windows 2000-Basierten Servern aus

[Alveran]

Sorry,
es handelt sich um ein SBS2003, alle updates und patches auf dem neuesten stand. Es läuft Exchange, AD.

[olc]

Hi,

hast Du unter Umständen vor einiger Zeit (zu Beginn des Fehlers) einmal das Kennwort des Administrators geändert? Sind eventuell Dienste oder Programme installiert worden? Ist im Credential Manager vielleicht ein falsches Kennwort für den Administrator hinterlegt?

Sollte das nicht der Fall sein, könnte es im schlimmsten Fall ein kürzlich ausgebrochener Wurm sein, siehe Aktives Verzeichnis Blog : Diverse Benutzerkonten haben plötzlich einen Account Lockout

Prüfe das doch einmal zur Sicherheit gegen.

Ist wie gesagt nur der Extremfall - es gibt eine ganze Menge anderer möglicher Gründe für eine solche Meldung. Sind vielleicht Fehlermeldungen in den Eventlogs (Application / SYSTEM) zu finden?

Viele Grüße
olc

[Alveran]

Hallo,
der Tip scheint gut. Ich habe das Passwort des Administrators geändert. Was ist der Credential Manager?
Und nochmal ja ich hatte den Wurm. Ist aber zum Glück runter und die Sicherheitslücke geschlossen.
Also der Wurm führt die Atacken nicht aus. Das sah anders aus, und war permanent und die accounts wurden gesperrt.
Jetzt bekomme ich nur die 675 Meldung genau aller Stunde ab Serverstart.
Accounts bleiben offen.

[Necron]

Zitat von Alveran Und nochmal ja ich hatte den Wurm. Ist aber zum Glück runter und die Sicherheitslücke geschlossen.

Ehrlich gesagt, wenn ein Wurm auf dem Server war, würde ich eine Neuinstallation in Erwägung ziehen. Nur so kann man 100% sicher sein, dass man wieder ein sauberes System hat!

[Alveran]

Kann man erstmal irgendwie rausfinden welcher dienst sich da überhaupt einloggen will. Außer das es von 127.0.0.1 kommt?

[olc]

Hi,

Zitat von Alveran der Tip scheint gut. Ich habe das Passwort des Administrators geändert. Was ist der Credential Manager?

Schau einmal mittels Start --> Ausführen --> "control keymgr.dll", ob etwas hinterlegt ist.

Zitat von Alveran Und nochmal ja ich hatte den Wurm. Ist aber zum Glück runter und die Sicherheitslücke geschlossen.

Mh, habe ich das überlesen oder hattest Du es gar nicht geschrieben?

Zitat von Alveran Also der Wurm führt die Atacken nicht aus. Das sah anders aus, und war permanent und die accounts wurden gesperrt.

War ja auch erst einmal ein Ansatz, nicht die Komplettlösung...

Zitat von Necron Ehrlich gesagt, wenn ein Wurm auf dem Server war, würde ich eine Neuinstallation in Erwägung ziehen. Nur so kann man 100% sicher sein, dass man wieder ein sauberes System hat!

Sehe ich im Grunde auch so - ist nur leider in solchen Umgebungen oftmals nicht so "einfach". Wobei man hier dann abwägen sollte, wie teuer und aufwändig ein Schädlingsbefall langfristig werden kann (Produktionsausfall, Schadenersatz, Haftung etc.). Aber gut, das entscheidet der TO selbst.

Zitat von Alveran Kann man erstmal irgendwie rausfinden welcher dienst sich da überhaupt einloggen will. Außer das es von 127.0.0.1 kommt?

Einen Ansatz findest Du in dem oben verlinkten Artikel - die Account Lockout Tools.

Ansonsten kann man es mit dem Process Tracking versuchen, aber ich denke, das solltest Du für den Moment lassen; das ist nicht ganz so einfach und vielleicht gar nicht notwendig. Prüfe auch einmal alle Dienste, ob einer oder einige davon unter dem Administrator Account laufen - ggf. ist hier nach dem Kennwortwechsel also auch Handarbeit angesagt.

Viele Grüße
olc