maverick82 10 Geschrieben 13. Februar 2007 Melden Geschrieben 13. Februar 2007 Hallo zusammen, wir haben eine Windows 2003-Domäne mit mehreren Standorten. An jedem Standort befindet sich ein Domänencontroller, der globaler Katalogserver ist. Seit etlichen Tagen haben wir Ereignisse der Fehlerüberwachung im Eventlog eines Domänencontrollers am Hauptstandort, die wir uns nicht erklären können. Teilweise gibt es 5 Ereignisse vom selben Typ innerhalb einer Sekunde (insgesamt sind es mittlerweile etliche Tausende). Event-ID: 529 Quelle: Security Kategorie: An-/Abmeldung Benutzer: NT-AUTORITÄT\SYSTEM Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: administrator Domäne: FIRMA Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Name der Arbeitsstation: DC am Nebenstandort A bzw. DC am Nebenstandort B Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: IP-Adresse des DCs am Nebenstandort A bzw. am Nebenstandort B Quellport: 0 Auf der Internet-Seite eventid.net und hier im Board haben wir schon nachgeschaut, aber keine Lösung für unser Problem gefunden. Per RDP können wir uns am Nebenstandort A/B ohne Probleme mit dem Benutzer "administrator" am Domaincontroller anmelden. Nach Änderung des Kennwortes von "administrator" am Nebenstandort A tauchen die Ereignisse am Hauptstandort immer noch in der Ereignisanzeige auf. Hat jemand eine Idee wie wir diesen Fehler beseitigen können?
Winnetou 10 Geschrieben 13. Februar 2007 Melden Geschrieben 13. Februar 2007 Schau mal an den Nebenstandorten, ob sich dort eventuell ein Dienst mit dem Administratoraccount starten will und ein ungueltiges Administrator Kennwort hat.
maverick82 10 Geschrieben 13. Februar 2007 Autor Melden Geschrieben 13. Februar 2007 Die Dienste haben wir auch schon kontrolliert. Diese starten entweder als "Lokaler Dienst", "Lokales System" oder "Netzwerkdienst".
maverick82 10 Geschrieben 11. April 2007 Autor Melden Geschrieben 11. April 2007 Nachdem wir uns den Netzwerkverkehr mit dem Microsoft Netzwerkmonitor auf dem DC am Hauptstandort genauer angeschaut haben, sind wir dahintergekommen, dass es etwas mit dem SMS (System Management Server) zu haben muss. Wir haben die Anmeldedaten der Dienste "SMS_EXECUTIVE" und "SMS_SITE_COMPONENT_MANAGER" von "Lokales System" auf "FIRMA\administrator" auf den DCs an den Nebenstandorten A+B geändert und die Dienste neu gestartet. Anschließend haben wir die Anmeldedaten wieder zurück auf "Lokales System" geändert + die Dienste neu gestartet. Seitdem sind die Ereignisse mit der Event-ID 529 auf dem DC am Hauptstandort von ein paar hundert-tausenden auf ein paar hundert zurückgegangen. Die Fehlermeldung ist allerdings immer noch die selbe geblieben. Nach weiterem forschen haben wir die letzte Ursache auch noch gefunden. In der SMS-Konsole war noch das alte Administrator-Kennwort beim jeweiligen SMS-Standort hinterlegt. zu finden unter: Standortdatenbank - Standorthierarchie - Standort - Standorteinstellungen - Adressen - Standardsenderadresse
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden