Fehlermeldung Überwachung gescheitert im Windows-Protokoll Sicherheit

[Dani Duesentrieb 10]

Hallo Zusammen,

 

wir haben hier einen Windows Server 2008 R2 als Domain Controller mit AD. Nun musste ich letzte Woche Donnerstag das Domainadmin Passwort ändern. Seitdem läuft das Sicherheitsprotokoll mit Fehlermeldungen Überwachung gescheitert zu. Das sind so ca. 13000 Ereignisse pro Stunde bei 28 Clients.

 

In jedem Ereignis steht folgendes drin:

 

Fehler beim Anmelden eines Kontos.

Antragsteller:
    Sicherheits-ID:        NULL SID
    Kontoname:        -
    Kontodomäne:        -
    Anmelde-ID:        0x0

Anmeldetyp:            3

Konto, für das die Anmeldung fehlgeschlagen ist:
    Sicherheits-ID:        NULL SID
    Kontoname:        
    Kontodomäne:        [Rechnername für Post geändert]

Fehlerinformationen:
    Fehlerursache:        Unbekannter Benutzername oder ungültiges Kennwort.
    Status:            0xc000006d
    Unterstatus::        0xc0000064

Prozessinformationen:
    Aufrufprozess-ID:    0x0
    Aufrufprozessname:    -

Netzwerkinformationen:
    Arbeitsstationsname:    [Rechnername für Post geändert]
    Quellnetzwerkadresse:    [iP für Post geändert]
    Quellport:        63119

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        NtLmSsp
    Authentifizierungspaket:    NTLM
    Übertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schlüssellänge:        0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
    - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

 

Die Ereignisse unterscheiden sich nur durch einen anderen Quellport. Unter anderen sind folgende Ports angegeben: 56112, 60705,60707,58627,56219,58629,56221.

Ansonsten gibt es kein Probleme, die Clients die diese Fehlermeldung erzeugen, können normal Arbeiten und haben keine Probleme sich irgendwo anzumelden.

Das entfernen und erneutes Hinzufügen eines Rechners aus der Domain bringt keinen Erfolg.

 

Was kann das sein?

 

Gruß Daniel

bearbeitet 15. Januar 2014 von Dani Düsentrieb

[Dukel 436]

Läuft irgendeine Applikation mit dem Domänmenadmin? Irgendein Service oder Geplaner Task auf irgendeinem Rechner?

[tesso 360]

Die ersten beiden Ports deuten auf File Access von Apple hin. die restlichen habe ich nicht überprüft.

[Dani Duesentrieb 10]

Auf dem Server läuft der Datensicherungsdienst mit dem Domainadmin und ein Fax zu Mail Programm. Diese habe ich umgestellt. Ansonsten haben wir noch Trend Micro als Virenscanner. Das habe ich aber schon gecheckt sämtliche Dienste laufen auf den Clients als Lokales System. Sonst läuft auf allen Clients alles unter Lokales System, Lokaler Dienst, Netzwerkdienst oder dem jeweilig angemeldeten Benutzer. Apple haben wir nicht im Einsatz. Alle Rechner isnd Windows 7 und einer Windows Vista.

Also so wie es jetzt aussieht haben die Fehler im Log nichts mit dem ändern das Passwortes zu tun. Ich habe das Passwort mal auf den Urzustand gesetzt und eine weile gewartet. Allerdings hat sich keine Veränderung in den Logs gezeigt.