Maxxine

Hallo,

wie der Virus heißt weiß ich leider nicht weil ich die Rechner nur sperren lasse, sie sind alle aus unserem LAN - welche Virenscanner die Rechner drauf haben ist unbekannt, da sie verschiedenen Abteilungen angehören die wir nicht betreuen...

LG Maxxine

Hallo,

habe in den letzten Wochen dauernd mit Attacken von virenversuchten Rechnern auf meinen 2003 Server zu kämpfen. Großteils versuchten sich diese über den Admin-Account zu verbinden, dieser wurde umbenannt trotzdem finden sie ihn. Kann es sein daß dieser Virus eine Sicherheitslücke benutzt um ins Active Driectory zu gelangen?? Schön langsam fühle ich mich beunruhigt, denn vorgestern hatte ich mit Angriffen eines Rechners zu tun, der nicht nur den Admin-Account benutzt hat, sondern auch Anmeldeversuche mit verschiedenen (tatsächlich extistierenden) Usernamen unternommen hat, daß ist bisher noch nicht vorgekommen.

Woher bekommen die infizierten Rechner diese Info überhaupt, bzw. kann man etwas dagegen tun?

LG Maxxine

Hallo,

danke euch für die Unterstützung, Grizzly´s´Entschuldigung habe ich angenommen und wir sind wieder ganz lieb zueinander :)

Die Anmeldungen funktionieren inzwischen, aber keiner der User scheint sein Profil zu bekommen oder irgendwas arbeiten zu können, uff.. Leider bin ich etwas eingeschränkt, weil ich nur eine remote-Verbindung zum Server habe (bin eineinhalb Stunden Fahrzeit vom Arbeitsplatz weg).

WINS und DNS habe ich getestet, da finde ich keinen Fehler, morgen weiß ich hoffentlich etwas Näheres. Mein Chef hat Freitag abend noch das "loginscript" geändert, aber ich erreiche ihn nicht und weiß nicht ob das irgendwie zusammenhängt...

Muß jetzt schleunigst ins Bett...

@Comedian

Danke das werde ich mir morgen früh genauer anschauen..

@Konfus

Im Moment bin ich etwas eingeschränkt was die Clients anbelangt, morgen früh weiß ich sicher mehr darüber als mir lieb ist :rolleyes:

@Grizzly

Sorry, du bist etwas auf dem falschen Weg, es war nicht wirklich ein "InPlaceUpGrade", aber ich erkläre es morgen genauer...

LG Maxxine

Hallo Konfus,

danke für deine Antwort und die Links, ich habe inzwischen die Kerberos-Authentifizierung deaktiviert.

Es handelt sich hauptsächlich um NT-Clients (wenige XP´s) momentan lauft die Domäne noch im "Interim-Modus. Netdiag hat nix gefunden...

Anmelden kann sich anscheinend aber noch immer niemand..

Übrigens habe ich jetzt in Abständen eine neue Warnmeldung aus dem Bereich System, ID: 3019, Source: MRxSmb

"The redirector failed to determine the connection type."

@Grizzly

Hattest du einen schlechten Tag oder warum diese schräge Anrede? Die anderen konnten mit meinem "Rumgestotter" anscheinend auch etwas anfangen, ich war in Eile und Streß und habe deshalb auch einiges vergessen, da könnte man doch aber auch freundlich darauf hinweisen, oder?

LG Maxxine

Hallo,

danke für den Link, aber da habe ich nichts Aussagekräftiges gefunden

BS ist 2003 Server Standard...

Es kann sich anscheinend noch immer niemand anmelden..

LG Maxxine

Hallo,

Source ist "security" - bei den fehlgegangen Clientanmeldungen habe ich diese Meldung (ebenfalls "security)

Logon Failure:

Reason: An error occurred during logon

User Name:

Domain:

Logon Type: 3

Logon Process: Kerberos

Authentication Package: Kerberos

Workstation Name: -

Status code: 0xC0000133

Substatus code: 0x0

Caller User Name: -

Caller Domain: -

Caller Logon ID: -

Caller Process ID: -

Transited Services: -

Source Network Address: *.*.*.*

Source Port: 0

For more information, see Help and Support Center at

Fällt dir etwas dazu ein??

Hallo,

habe seit kurzem eine Meldung im Eventlog meines Servers in genau 15 minütigen Abständendaß ein "failure audit" meines Servers erfolgt ist, was hat das zu bedeuten? Hat die Eventid 673... Füge unten die Meldung ein - kann mir jemand sagen ob das etwas zu bedeuten hat? Anscheinend konnte sich auch kein Client in den letzten Stunden anmelden..

Service Ticket Request:

User Name:

User Domain: *****

Service Name:

host/*.*.*

Service ID: -

Ticket Options: 0x40830000

Ticket Encryption Type: -

Client Address: 127.0.0.1

Failure Code: 0xD

Logon GUID: -

Transited Services: -

Danke

Maxxine

Hallo,

gestern war mein Server bei einer CPU-Auslastung von über 71%, ausgelöst durch ca. 20 infizierte Rechner die sich alle mit dem Adminaccount anmelden wollten. Bis gestern abend haben wir alle wo es ging gesperrt heute sehe ich (von daheim) daß es schon wieder losgeht - bis Montag früh bin ich quasi machtlos, oder kann ich irgendwas tun?? Dieser spezielle Virus reagiert nicht auf das "Sasser-removal-Tool" und "McAffee" kennt ihn noch nicht, aber das ist ohnehin nicht mein Kaffee, weil die infizierten Rechner zwar in unserem Netz aber nicht unter unserer "Gewalt" stehen. Ich muß nur irgendwas tun um meinen Server vor dieser Anmeldeflut zu schützen, mit graut schon vor Montag wenn sich unsere User anmelden wollen :rolleyes:

Den Adminaccount umzubenennen wird wohl nicht viel nützen, oder gibts da noch andere Möglichkeiten??

LG Maxxine

Hallo,

heute hat mir eine Userin etwas erzählt das ich nicht ganz einordnen kann (habe leider nicht so genau zugehört) ;)

Die gute Frau hat auf ihrem PC Admin-Rechte und durch einen Virus in den letzten Wochen ständig Probleme (ihre Aussage). Also ging sie hin, löschte ihr Profil, bekam mit der nächsten Anmeldung ein Neues und seitdem hat sie keine Probleme mehr, alles bestens Kopiert hat sie anscheinend auch was, so ihre Aussage.

Nachdem sie ein servergespeichertes Profil (mit lokalen Admin-Rechten) nicht löschen kann, wird sie wohl das lokale Profil gelöscht haben und ein Neues bekommen haben, aber wieso hat sie dann alle Dateien, inkl. aller Mails, das verstehe ich einfach nicht, kann mir das ev. jemand erklären?

LG Maxxine

Hallo Velius,

danke für deine Mühe, ganz toll! Werde das morgen früh gleich als erstes probieren und berichten, hoffentlich klappts...

Liebe Grüße

Maxxine

Mist - leider nicht, diese elendige IBM-Kiste gibt mir weder eine Auswahl noch tut sich was wenn ich F8 drücke, es ist zum Heulen...

LG Maxxine

Hallo Velius,

danke dir - vor allem für die Glückwünsche, ich kanns brauchen!

Werde nochmals in den Serverraum gehen und mein Glück versuchen :rolleyes:

LG Maxxine

Hallo Velius,

ja es ist ein Controller, aber ich hatte das Recht der lokalen Anmeldung, also dachte ich das geht trotzdem, Mist...

Na ja eine interne Karte hat er noch, die ist (anscheinend) nicht deaktiviert weil ich die vom anderen Server aus noch pingen kann, nutzt mir wahrscheinlich auch nichts, oder?

Das mit F8 würde ich ja gerne, aber dieser Sch.. IBM-Server zeigt mir einen Haufen unnützes Zeugs beim Hochfahren, dann schmeißt er mir gleich das "2003 Logo" raus und dann das Anmeldefenster, nix mit Optionen

LG Maxxine

Nein, kann ich natürlich auch nicht, ich habe ihn ja von der Domäne getrennt...

Hallo,

habe ein Riesen-Problem, habe beim 2. Server die Netzwerkkarte deaktiviert

weil ich etwas umkonfigurieren mußte, jetzt will ich mich lokal anmelden

aber er läßt mich nicht - am Anmeldefenster zeigt er mir nur die Domäne zur Auswahl oder ein leeres Fenster. Wie komme ich "rein"????

Danke im voraus

Maxxine

Hallo Klaus,

sorry - habe schon wieder (aus Zeitmangel) schlampigst gelesen :o

Hatte gerade den Kopf voll mit Zonen, deshalb der Irrtum :rolleyes:

Natürlich habe ich nichts gelöscht - ich hole mir hier nur Tipps und Anregungen, führe aber nur das aus wovon ICH 100%ig überzeug bin ;)

LG Maxxine

Hi Klaus,

danke dir - hm, ich verstehe was du meinst weiß aber nicht so recht wie ich das umsetzen soll. Soll ich die_mcdcs.*.* - Zone löschen??? Oder die andere primäre??? und was kommt dann stattdessen für eine Zone?

Außerdem geht das im laufenden Betrieb? Wahrscheinlich nicht, oder?

LG Maxxine

Nein, eigentlich hat es keinen Grund, habe es mir halt so vorgestellt. Reicht es denn nicht wenn ich beim einen den GC dekativiere?

Von wegen DNS bin ich mir auch etwas unsicher - sollte der zweite sein eigener DNS-Server sein oder sollte ich ihm den DNS vom ersten eintragen? Wins-Server habe ich ihm den eigenen eingetragen (wir haben fast nur NT-Clients). Das Problem sehe ich auch irgendwie darin daß wir statische IP-Adressen haben und die Clients alle schon den 1. Server als DNS-Server eingetragen haben...

LG Maxxine

Hallo,

habe jetzt zwei AD-Controller aufgesetzt, will aber nicht daß die Anmeldungen über beide laufen, der eine soll nur "Quasi-Backup" sein. Wie und wo kann ich das festlegen? Imho laufen die Anmeldungen dan über den der den GC hält, oder sehe ich das zu einfach?

Danke

Maxxine

Hallo,

habe jetzt zwei AD-Controller aufgesetzt, will aber nicht daß die Anmeldungen über beide laufen, der eine soll nur "Quasi-Backup" sein. Wie und wo kann ich das festlegen?

Danke

Maxxine

Hallo,

habe noch einen 2. Server den ich als "Quasi-Backup" für den ersten aufsetzen will, mein Problem ist daß ich die beiden (haben jeweils 2 Netzwerkkarten) über die interne Karte verbinden will, d.h. daß auch die Replikation so stattfinden soll. Das Dumme ist daß ich beim zweiten Server die externe Karte nicht deaktivieren kann (will) da ich ihn sonst remote nicht mehr erreiche, wie schaffe ich es das der "Backup" den AD-Controller über die interne Karte sucht und findet (und daß Replikationen nur auf diesem Wege stattfinden)??

LG Maxxine

Hallo,

danke euch sehr für die Hilfe - habe einen User für den HD angelegt und ihm das Recht User anzulegen delegiert. Die lokalen Admin-Rechte haben sie so und so schon, muß halt überlegen was noch nützlich wäre...

Hoffe der Chef sieht das auch so - ich schlafe jedenfalls ruhiger wen nur ein bis zwei vertrauenswürdige Personen (ich) ;) das Adminkennwort wissen :cool:

LG Maxxine

Hallo,

der AD2003 Controller liegt in meiner Verantwortung, während der Neuaufnahme der über 100 PC´s hatte der Helpdesk den Domänenadmin um die Rechner in die Domäne aufzunehmen. Jetzt habe ich das Kennwort geändert, aber irgendwelche Berechtigungen muß ich ihnen doch geben, es geht um Profilgeschichten, Installationen, etc. auch wegen des guten Arbeitsklimas bin gewzungen ihnen irgendeine Berechtigung zu geben. Andernseits sträubt sich alles in mir jemanden soweit ans AD herzulassen daß er irgendwas "pfuschen" könnte - wie habt ihr das gelöst, bzw. wie würdet ihr das lösen?

Danke und lg

Maxxine

Hallo,

danke euch sehr - habe es so gemacht und bisher sind keine Beschwerden gekommen :wink2:

@Blub

Dieses shutgui.exe probiere ich dann das nächste Mal aus :cool:

LG Maxxine

Hallo,

als ich mich heute früh an meinem Server angemeldet hatte war auf einmal ein gelbes Warndreidreck mit einem schwarzen Ausrufzeichen auf der Taskleiste mit einer Warnmeldung betreffend der .pst Datei eines Users, Daten konnten nicht gespeichert werden. Leider war es dann plötzlich pfutsch und ich bin mir nicht sicher was da jetzt genau stand - im Event Viewer habe ich nichts gefunden, wie bekomme ich die genaue Meldung wieder, irgendwo muß das doch dokumentiert sein, oder?

Danke und lieben Gruß

Maxxine