Microsoft MVPs inside

MCSEboard.de MCSE Forum zu Windows XP / 2003 / 2008 Server & Windows Vista / Windows 7
Zurück   MCSEboard.de MCSE Forum > Windows Server Forum & IT Pro Forum > Windows Forum — Server & Backoffice > Windows Server Forum
Seite neu laden Sehr häufige An- und Abmeldeereignisse
  SSL
Registrieren Hilfe Regeln Benutzerliste Suchen Heutige Beiträge Alle Foren als gelesen markieren

Windows Server Forum


Alles zum Thema Windows Server sowie Windows IT Pro Themen — Q & A zu den Windows Server Versionen NT / 2000 / 2003 / 2003 R2 / 2008 / 2008 R2: Rollen, Features, Konfiguration, Troubleshooting

Antwort
     
Themen-Optionen
Alt 02.04.2007, 20:10   #1
Newbie
 
Offline
Registriert seit: 03-2004
Ort: Hamburg
Beiträge: 22
Sehr häufige An- und Abmeldeereignisse
Guten Abend,

habe vorhin eine Mail eines Kunden bekommen, mit einem Auszug folgender Events:

Code:
Ereignistyp:      Erfolgsüberw.
Ereignisquelle:  Security
Ereigniskategorie:         An-/Abmeldung
Ereigniskennung:          538
Datum:             02.04.2007
Zeit:                 16:03:41
Benutzer:                      NT-AUTORITÄT\SYSTEM
Computer:        DC
Beschreibung:
Benutzerabmeldung:
            Benutzername:  DC$
            Domäne:                      BLUBB
            Anmeldekennung:                     (0x0,0x42952BFE)
            Anmeldetyp:     3


Ereignistyp:      Erfolgsüberw.
Ereignisquelle:  Security
Ereigniskategorie:         An-/Abmeldung
Ereigniskennung:          576
Datum:             02.04.2007
Zeit:                 16:03:38
Benutzer:                      NT-AUTORITÄT\SYSTEM
Computer:        DC
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
            Benutzername:  DC$
            Domäne:                      BLUBB
            Anmeldekennung:                     (0x0,0x429526CB)
            Berechtigungen:           SeSecurityPrivilege
                                   SeBackupPrivilege
                                   SeRestorePrivilege
                                   SeTakeOwnershipPrivilege
                                   SeDebugPrivilege
                                   SeSystemEnvironmentPrivilege
                                   SeLoadDriverPrivilege
                                   SeImpersonatePrivilege
                                   SeEnableDelegationPrivilege


Ereignistyp:      Erfolgsüberw.
Ereignisquelle:  Security
Ereigniskategorie:         An-/Abmeldung
Ereigniskennung:          540
Datum:             02.04.2007
Zeit:                 16:03:37
Benutzer:                      NT-AUTORITÄT\SYSTEM
Computer:        DC
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
            Benutzername: DC$
            Domäne:                      BLUBB
            Anmeldekennung:                     (0x0,0x4295202B)
            Anmeldetyp:     3
            Anmeldevorgang:         Kerberos
            Authentifizierungspaket:            Kerberos
            Arbeitsstationsname:   
            Anmelde-GUID: {1b3780fe-d434-4647-c8ad-8ccacc1575c6}
            Aufruferbenutzername:  -
            Aufruferdomäne:          -
            Aufruferanmeldekennung:         -
            Aufruferprozesskennung: -
            Übertragene Dienste: -
            Quellnetzwerkadresse:   192.168.0.100 (IP des DC)
            Quellport:         24317

Es scheint, als kommen diese Meldungen fast im sekundentakt oder sogar noch öfter. Prinzipiell würde ich mich über solche Meldungen ja nicht wundern, aber in dem Ausmaß? Ist das normal?

Zu der Umgebung sei gesagt: Windows2003 Small Business Server, auf dem Exchange und ADS laufen, zusätzlich zu normalen File-Services. Also eigentlich nichts schlimmes.

Könnte das der Exchange und / oder die Domänenverwaltung sein, die sich da selbst anmeldet und dass die Ereignisanzeige nur zu empfindlich eingestellt ist?
Ich bin hier grad echt verwirrt..

Signatur
Daniel

    Mit Zitat antworten
Alt 03.04.2007, 06:39   #2
Board Veteran
 
Offline
Registriert seit: 02-2004
Ort: Liestal (Schweiz schlotter)
Beiträge: 1.635
Hallo

Wie Du richtig vermutest, ist das das System, welches sich an- und abmeldet respektive der Benutzer "Blubb". Ausser, dass die Logs gefüllt werden, ist dies nichts schlimmes.

Das kann konfiguriert werden in den Domain (controller) Policies unter Audit oder Überwachung in dem Securityteil.


Grüsse,
Matthias

Signatur
passed: 70-680, 70-686, 70-238, 70-620, 70-647, 70-237, 70-646, 70-236, 70-643, 70-642, 70-640

next: don't know

    Mit Zitat antworten
Alt 03.04.2007, 07:30   #3
Moderator
 
Benutzerbild von Gadget
 
Offline
Registriert seit: 07-2003
Ort: 127.0.0.1
Beiträge: 5.023
Moin,

nimm die erfolgreiche Rechte-Verwendung raus dann sollten die Einträge weg sein.

Es gibt aber auch nen Hotfix für das Verhalten:

System Performance Decreases, and Many Event ID 576 Entries Are Logged to the Security Event Log

When you configure an audit policy in Windows Server 2003, your system performance may decrease, and the server may become unresponsive. Additionally, when these symptoms occur, many Event ID 576 entries that are similar to the following are logged to the Security event log
Wobei der Hotfix relativ alt ist u. evtl. das Datum deiner "Lsasrv.dll" neuer.

Nichtsdestotroz würde ich generell das auditing für erfolgreiche Rechteverwendung deaktivieren, damit sollte das Prob auch schon gelöst sein.

LG Gadget

Signatur
Konfuzius sagt: Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir Ärger erspart bleiben.

    Mit Zitat antworten
Alt 04.04.2007, 14:14   #4
Senior Member
 
Benutzerbild von groszmann
 
Offline
Registriert seit: 11-2004
Beiträge: 344
Zitat von Gadget
Nichtsdestotroz würde ich generell das auditing für erfolgreiche Rechteverwendung deaktivieren
Ähh, tschulligung,

ich sehe grade den Wald vor lauter Bäumen nicht. Wo genau macht man das, habe mir schon die Augen wundgesucht in den GPOs.



Gruß

Hans

Signatur
*Der Web-Browser, den Sie momentan nicht benutzen, kann dieses Download unterstützen. Bitte benutzen Sie den Downloadmanager (hat empfohlen) Option.
Microsoft Volume Licensing Servicecenter / Softwaredownloads

    Mit Zitat antworten
Alt 04.04.2007, 14:19   #5
Moderator
 
Benutzerbild von Gadget
 
Offline
Registriert seit: 07-2003
Ort: 127.0.0.1
Beiträge: 5.023
Computer-Konfiguration / Windows-Einstellungen / Sicherheits-Einstellungen / Überwachungs-Richtlinien / Anmelde-Ereignisse (bei Erfolgreich haken rausnehmen)

u. bei Anmelde-Versuche (auch bei Erfolgreich haken rausnehmen)

Signatur
Konfuzius sagt: Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir Ärger erspart bleiben.

    Mit Zitat antworten
Alt 04.04.2007, 17:13   #6
Senior Member
 
Benutzerbild von groszmann
 
Offline
Registriert seit: 11-2004
Beiträge: 344
Merci vielmal

Signatur
*Der Web-Browser, den Sie momentan nicht benutzen, kann dieses Download unterstützen. Bitte benutzen Sie den Downloadmanager (hat empfohlen) Option.
Microsoft Volume Licensing Servicecenter / Softwaredownloads

    Mit Zitat antworten
Antwort


Themen-Optionen


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
SBS - 2008 - Häufige Fehlermeldung Horstenberg Windows Server Forum 5 25.01.2009 11:46
SBS - Windows 2003 SBS Server läuft nach Installation sehr sehr langsam brianit Windows Server Forum 9 14.01.2009 10:24
SBS - Mysteriöse, häufige Lesebestätigungen PatrickKByte Windows Server Forum 11 20.02.2008 02:20
2K3 - Häufige einwahl durch ntp casto4711 Windows Forum — LAN & WAN 5 07.12.2004 12:06
Häufige Fehler beim Login auf MCP-Member-Site (Passport) Sexsi MS Zertifizierungen — Allgemein 4 20.04.2004 11:05


Alle Zeitangaben in MEZ/CET. Es ist jetzt 04:28 Uhr. Seite generiert in 0,062 Sekunden.
Alle Foren als gelesen markieren |

- Unsere Partner -
Kontakt - MCSEboard.de - Nach oben - Impressum

Copyright © 2000 – 2012 MCSEboard.de

Sprung zum Seitenanfang