Alveran 10 Geschrieben 19. Januar 2009 Melden Teilen Geschrieben 19. Januar 2009 Seit ein paar Tagen habe ich das Problem das ich genau aller Stunde ca 10 mal folgenden eintrag unter Ereignisanzeige/Sicherheit finde. Fehlgeschlagene Vorbestätigung: Benutzername: Administrator Benutzerkennung: xxxx\Administrator Dienstname: krbtgt/xxxx Vorauthentifizierungstyp: 0x2 Fehlercode: 0x18 Clientadresse: 127.0.0.1 Habe den Server schon mehrmals neugestartet. Ohne Erfolg. Es muß irgendein Dienst sein der sich versucht zu starten. Habe irgendwie die Vermutung das das Kerberosticket hin ist. Wenn sich ander nutzer Anmelden kommt diese Meldung auch. Ansonsten läuft der Server normal. Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 19. Januar 2009 Melden Teilen Geschrieben 19. Januar 2009 Hi, schon unter EventID.Net - Troubleshooting information for Windows event logs nachgeschaut? Zitieren Link zu diesem Kommentar
Alveran 10 Geschrieben 19. Januar 2009 Autor Melden Teilen Geschrieben 19. Januar 2009 Ja, aber leider nichts auf meinen fall bezogenes gefunden. Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 19. Januar 2009 Melden Teilen Geschrieben 19. Januar 2009 Hi, könntest du noch dazu schreiben um welches OS es sich handelt und welche Dienste auf dem Server laufen? Ansonsten hätte ich hier einen Anhaltspunkt: UPDATE: Exchange-Server fällen Kerb-Authentifizierung-Server-Anforderungen auf Windows 2000-Basierten Servern aus Zitieren Link zu diesem Kommentar
Alveran 10 Geschrieben 19. Januar 2009 Autor Melden Teilen Geschrieben 19. Januar 2009 Sorry, es handelt sich um ein SBS2003, alle updates und patches auf dem neuesten stand. Es läuft Exchange, AD. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 19. Januar 2009 Melden Teilen Geschrieben 19. Januar 2009 Hi, hast Du unter Umständen vor einiger Zeit (zu Beginn des Fehlers) einmal das Kennwort des Administrators geändert? Sind eventuell Dienste oder Programme installiert worden? Ist im Credential Manager vielleicht ein falsches Kennwort für den Administrator hinterlegt? Sollte das nicht der Fall sein, könnte es im schlimmsten Fall ein kürzlich ausgebrochener Wurm sein, siehe Aktives Verzeichnis Blog : Diverse Benutzerkonten haben plötzlich einen Account Lockout Prüfe das doch einmal zur Sicherheit gegen. Ist wie gesagt nur der Extremfall - es gibt eine ganze Menge anderer möglicher Gründe für eine solche Meldung. Sind vielleicht Fehlermeldungen in den Eventlogs (Application / SYSTEM) zu finden? Viele Grüße olc Zitieren Link zu diesem Kommentar
Alveran 10 Geschrieben 20. Januar 2009 Autor Melden Teilen Geschrieben 20. Januar 2009 Hallo, der Tip scheint gut. Ich habe das Passwort des Administrators geändert. Was ist der Credential Manager? Und nochmal ja ich hatte den Wurm. Ist aber zum Glück runter und die Sicherheitslücke geschlossen. Also der Wurm führt die Atacken nicht aus. Das sah anders aus, und war permanent und die accounts wurden gesperrt. Jetzt bekomme ich nur die 675 Meldung genau aller Stunde ab Serverstart. Accounts bleiben offen. Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 20. Januar 2009 Melden Teilen Geschrieben 20. Januar 2009 Und nochmal ja ich hatte den Wurm. Ist aber zum Glück runter und die Sicherheitslücke geschlossen. Ehrlich gesagt, wenn ein Wurm auf dem Server war, würde ich eine Neuinstallation in Erwägung ziehen. Nur so kann man 100% sicher sein, dass man wieder ein sauberes System hat! Zitieren Link zu diesem Kommentar
Alveran 10 Geschrieben 20. Januar 2009 Autor Melden Teilen Geschrieben 20. Januar 2009 Kann man erstmal irgendwie rausfinden welcher dienst sich da überhaupt einloggen will. Außer das es von 127.0.0.1 kommt? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Januar 2009 Melden Teilen Geschrieben 20. Januar 2009 Hi, der Tip scheint gut. Ich habe das Passwort des Administrators geändert. Was ist der Credential Manager? Schau einmal mittels Start --> Ausführen --> "control keymgr.dll", ob etwas hinterlegt ist. Und nochmal ja ich hatte den Wurm. Ist aber zum Glück runter und die Sicherheitslücke geschlossen. Mh, habe ich das überlesen oder hattest Du es gar nicht geschrieben? Also der Wurm führt die Atacken nicht aus. Das sah anders aus, und war permanent und die accounts wurden gesperrt. War ja auch erst einmal ein Ansatz, nicht die Komplettlösung... ;) Ehrlich gesagt, wenn ein Wurm auf dem Server war, würde ich eine Neuinstallation in Erwägung ziehen. Nur so kann man 100% sicher sein, dass man wieder ein sauberes System hat! Sehe ich im Grunde auch so - ist nur leider in solchen Umgebungen oftmals nicht so "einfach". Wobei man hier dann abwägen sollte, wie teuer und aufwändig ein Schädlingsbefall langfristig werden kann (Produktionsausfall, Schadenersatz, Haftung etc.). Aber gut, das entscheidet der TO selbst. :wink2: Kann man erstmal irgendwie rausfinden welcher dienst sich da überhaupt einloggen will. Außer das es von 127.0.0.1 kommt? Einen Ansatz findest Du in dem oben verlinkten Artikel - die Account Lockout Tools. Ansonsten kann man es mit dem Process Tracking versuchen, aber ich denke, das solltest Du für den Moment lassen; das ist nicht ganz so einfach und vielleicht gar nicht notwendig. Prüfe auch einmal alle Dienste, ob einer oder einige davon unter dem Administrator Account laufen - ggf. ist hier nach dem Kennwortwechsel also auch Handarbeit angesagt. Viele Grüße olc Zitieren Link zu diesem Kommentar
Alveran 10 Geschrieben 21. Januar 2009 Autor Melden Teilen Geschrieben 21. Januar 2009 Hallo, 1.in control keymgr.dll ist nichts hinterlegt. (komplett lehr) 2.hatte ich in dem vorherigen post geschrieben, egal 3.richtig 4.sehe ich auch so 5.Process Tracking, was muß ich dazu machen? mfg Alveran Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 21. Januar 2009 Melden Teilen Geschrieben 21. Januar 2009 Hi Alveran, 1.in control keymgr.dll ist nichts hinterlegt. (komplett lehr) Ok. 2.hatte ich in dem vorherigen post geschrieben, egal Nein, Du hattest es das erste Mal in dem zitierten Abschnitt "erwähnt", daher die Nachfrage. "Aber egal". ;) 5.Process Tracking, was muß ich dazu machen? Hast Du denn schon einmal wie angesprochen nach den Diensten geschaut und die Account Lockout Tools (siehe oben) eingesetzt? Das ist in jedem Fall besser als das Process Tracking. Falls Du es trotzdem unbedingt versuchen möchtest: Audit process tracking: Security Configuration Editor; Security Services Viele Grüße olc Zitieren Link zu diesem Kommentar
Alveran 10 Geschrieben 22. Januar 2009 Autor Melden Teilen Geschrieben 22. Januar 2009 Hallo, ja nach den diensten hab ich schon geschaut, Läuft nur einer unter Administrator und der hat auch das richtige Passwort. Hab den dienst mal deaktiviert, fehler ist weiterhin aufgetreten. Account Lockout Tools hab ich jetzt mal drauf gemacht. Was muß ich da jetzt einstellen um was zu erkennen? mfg Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 Hi, die ALockout.dll wäre zum Beispiel ein guter Anfang: Account Lockout Tools Viele Grüße olc Zitieren Link zu diesem Kommentar
Alveran 10 Geschrieben 26. Januar 2009 Autor Melden Teilen Geschrieben 26. Januar 2009 Sorry konnte mich die letzten drei Tage nicht kümmern. Hatte selber die Grippe. Werd es heut abend gleich mal ausprobieren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.