Satmax 10 Geschrieben 15. September 2009 Melden Teilen Geschrieben 15. September 2009 Hallo, auf einem unserer TS (W2k3) ist die Ereignissanzeige voll mit Einträgen: ... Erfolgsüberwachung An-/Abmeldung administrator Ereignis 538 Computer: TS-DINO Erfolgsüberwachung An-/Abmeldung administrator Ereignis 576 Computer: TS-DINO Erfolgsüberwachung An-/Abmeldung administrator Ereignis 540 Computer: TS-DINO ... Teilweise sind da 3-5 Einträge pro Sekunde, mehr als 100 in der Minute. Was läuft hier falsch? Danke, Markus Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 15. September 2009 Melden Teilen Geschrieben 15. September 2009 Kannst Du den kompletten Inhalt des/der Events hier reinkopieren? Von wo kommen die Anmeldungen des Admins an den TS? Zitieren Link zu diesem Kommentar
Satmax 10 Geschrieben 15. September 2009 Autor Melden Teilen Geschrieben 15. September 2009 Hallo nobex, hier mit copy&paste eingefügt, nur "domaine" geändert. Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 540 Datum: 15.09.2009 Zeit: 09:57:15 Benutzer: domaine\administrator Computer: DINO Beschreibung: Erfolgreiche Netzwerkanmeldung: Benutzername: Administrator Domäne: domaine Anmeldekennung: (0x0,0x3060DC7) Anmeldetyp: 3 Anmeldevorgang: Kerberos Authentifizierungspaket: Kerberos Arbeitsstationsname: Anmelde-GUID: {6fd9ab50-c1f3-1bc5-3de4-67690efd23dc} Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: - Quellport: - Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 538 Datum: 15.09.2009 Zeit: 09:57:15 Benutzer: domaine\administrator Computer: DINO Beschreibung: Benutzerabmeldung: Benutzername: Administrator Domäne: domaine Anmeldekennung: (0x0,0x3060DC7) Anmeldetyp: 3 Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 576 Datum: 15.09.2009 Zeit: 09:57:19 Benutzer: domaine\administrator Computer: DINO Beschreibung: Besondere Rechte bei neuer Anmeldung: Benutzername: Administrator Domäne: domaine Anmeldekennung: (0x0,0x3062E93) Berechtigungen: SeAssignPrimaryTokenPrivilege SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege Zitieren Link zu diesem Kommentar
Satmax 10 Geschrieben 15. September 2009 Autor Melden Teilen Geschrieben 15. September 2009 Nachtrag: der Domänen Admin ist auf einem anderen Server angemeldet und unter dieser Anmeldung wird ein Programm ausgeführt das auf dem TS installiert ist, inklusive SQL Server. Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 15. September 2009 Melden Teilen Geschrieben 15. September 2009 Hm, kann es sein das da vielleicht ein Dienst mit dem Konto "domaine\administrator" zyklisch anläuft? /Edit auf den Nachtrag: Treffer, versenkt. Zitieren Link zu diesem Kommentar
Satmax 10 Geschrieben 15. September 2009 Autor Melden Teilen Geschrieben 15. September 2009 Hm, kann es sein das da vielleicht ein Dienst mit dem Konto "domaine\administrator" zyklisch anläuft? /Edit auf den Nachtrag: Treffer, versenkt. Es läuft aber da IMHO kein Dients, nur ein normales Windows Programm. Du nimmts an die Einträge kommen von dort? Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 15. September 2009 Melden Teilen Geschrieben 15. September 2009 Ein testweises Stoppen des Programms bringt Aufschluss. Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 15. September 2009 Melden Teilen Geschrieben 15. September 2009 Es läuft aber da IMHO kein Dients, nur ein normales Windows Programm. Du nimmts an die Einträge kommen von dort? Ja, ich nehme genau das an. Und wenn du schreibst "inkl. SQL Server", dann geh ich mal davon aus, das der sicher auch mit bestimmten Credentials läuft. Welche sind denn das? Laufen da zyklische Agentjobs? etc... Zitieren Link zu diesem Kommentar
Satmax 10 Geschrieben 15. September 2009 Autor Melden Teilen Geschrieben 15. September 2009 Ein testweises Stoppen des Programms bringt Aufschluss. Da hätte ich natürlich von selbst drauf kommen müssen, danke. Und ja, es ist so. dieses Programm verursacht offensichtlich diese Einträge. Hast Du eventuell auch eine Erklärung warum das so ist? Das Programm greift via gemappte Freigabe auf diesen Server zu (laufend). Es sieht aus, als ob bei jedem Zugriff ein Eintrag erolgt. Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 15. September 2009 Melden Teilen Geschrieben 15. September 2009 Hast Du eventuell auch eine Erklärung warum das so ist? Das Programm greift via gemappte Freigabe auf diesen Server zu (laufend). Es sieht aus, als ob bei jedem Zugriff ein Eintrag erolgt. Und genau dort liegt das Missverständnis: Es gibt keinen laufenden Zugriff, auch wenn das für den Anwender so aussieht. Jeder Zugriff geschieht einzeln, inkl. An- und Abmeldung. Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 15. September 2009 Melden Teilen Geschrieben 15. September 2009 Jeder Zugriff geschieht einzeln, inkl. An- und Abmeldung. Wenn das Mapping nicht neu verbunden wird, sollte doch keine erneute Anmeldung stattfinden ... :suspect: Zitieren Link zu diesem Kommentar
Satmax 10 Geschrieben 15. September 2009 Autor Melden Teilen Geschrieben 15. September 2009 Danke für die Aufklärung! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.