Melden Securityfehler 4625 in Windows Server Forum Geschrieben 22. Februar 2011 Wir bekommen auf unserem Terminalserver W2K8R2 ca. 500-800mal am Tage eine Fehlermeldung im Security Ereignisprotokol (ID 4625) Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: 17.02.2011 12:21:03 Ereignis-ID: 4625 Aufgabenkategorie:Anmelden Ebene: Informationen Schlüsselwörter:Überwachung gescheitert Benutzer: Nicht zutreffend Computer: SRVTS1.DOMÄNE.local Beschreibung: Fehler beim Anmelden eines Kontos. Antragsteller: Sicherheits-ID: DOMÄNENNAME\USER Kontoname: USER (es sind immer verschiedene User) Kontodomäne: DOMÄNENNAME Anmelde-ID: 0x54cede21 Anmeldetyp: 3 Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: Gast Kontodomäne: SRVTS1 Fehlerinformationen: Fehlerursache: Das Konto ist derzeit deaktiviert. Status: 0xc000006e Unterstatus:: 0xc0000072 Prozessinformationen: Aufrufprozess-ID: 0x94e4 Aufrufprozessname: C:\Windows\explorer.exe Netzwerkinformationen: Arbeitsstationsname: SRVTS1 Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde. Was ich nicht verstehe ist folgendes: Warum wird versucht über das Gastkonto ein Zugriff zu erzeugen? Natürlich ist das Gastkonto deaktiviert. Wie kann ich herausfinden welcher Prozess versucht sich mit dem Gastkonto anzumelden? Habt Ihr eine Idee wie ich den Fehler wegbekomme? Vielen Dank für eure Hilfe. Gruß xmasiscool
Securityfehler 4625
in Windows Server Forum
Geschrieben
Wir bekommen auf unserem Terminalserver W2K8R2 ca. 500-800mal am Tage eine Fehlermeldung im Security Ereignisprotokol (ID 4625)
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 17.02.2011 12:21:03
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: SRVTS1.DOMÄNE.local
Beschreibung:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: DOMÄNENNAME\USER
Kontoname: USER (es sind immer verschiedene User)
Kontodomäne: DOMÄNENNAME
Anmelde-ID: 0x54cede21
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: Gast Kontodomäne: SRVTS1
Fehlerinformationen:
Fehlerursache: Das Konto ist derzeit deaktiviert. Status: 0xc000006e
Unterstatus:: 0xc0000072
Prozessinformationen:
Aufrufprozess-ID: 0x94e4
Aufrufprozessname: C:\Windows\explorer.exe
Netzwerkinformationen:
Arbeitsstationsname: SRVTS1
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem
Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die
Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein
lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2
(interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die
Anmeldung angefordert wurde.
Was ich nicht verstehe ist folgendes:
Warum wird versucht über das Gastkonto ein Zugriff zu erzeugen?
Natürlich ist das Gastkonto deaktiviert.
Wie kann ich herausfinden welcher Prozess versucht sich mit dem Gastkonto anzumelden?
Habt Ihr eine Idee wie ich den Fehler wegbekomme?
Vielen Dank für eure Hilfe.
Gruß
xmasiscool