Wir bekommen auf unserem Terminalserver W2K8R2 ca. 500-800mal am Tage eine Fehlermeldung im Security Ereignisprotokol (ID 4625)
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 17.02.2011 12:21:03
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: SRVTS1.DOMÄNE.local
Beschreibung:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: DOMÄNENNAME\USER
Kontoname: USER (es sind immer verschiedene User)
Kontodomäne: DOMÄNENNAME
Anmelde-ID: 0x54cede21
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: Gast Kontodomäne: SRVTS1
Fehlerinformationen:
Fehlerursache: Das Konto ist derzeit deaktiviert. Status: 0xc000006e
Unterstatus:: 0xc0000072
Prozessinformationen:
Aufrufprozess-ID: 0x94e4
Aufrufprozessname: C:\Windows\explorer.exe
Netzwerkinformationen:
Arbeitsstationsname: SRVTS1
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem
Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die
Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein
lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2
(interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die
Anmeldung angefordert wurde.
Was ich nicht verstehe ist folgendes:
Warum wird versucht über das Gastkonto ein Zugriff zu erzeugen?
Natürlich ist das Gastkonto deaktiviert.
Wie kann ich herausfinden welcher Prozess versucht sich mit dem Gastkonto anzumelden?
Habt Ihr eine Idee wie ich den Fehler wegbekomme?
Vielen Dank für eure Hilfe.
Gruß
xmasiscool