Grecho 0 Geschrieben 8. Februar 2016 Autor Melden Teilen Geschrieben 8. Februar 2016 @Nobbyaushb: Sorry, du hast recht. Man geht immer davon aus da man seine Umgebung kennt, dass automatisch jeder gleich auch Bescheid weiss (was natürlich nciht sein kann wenn es nicht explizit erwähnt wird) An account failed to log on.Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0Logon Type: 3Account For Which Logon Failed: Security ID: NULL SID Account Name: RechnerXYZ$ Account Domain: DomäneXYZFailure Information: Failure Reason: Unknown user name or bad password. Status: 0xC000006D Sub Status: 0xC000006AProcess Information: Caller Process ID: 0x0 Caller Process Name: -Network Information: Workstation Name: RechnerXYZ Source Network Address: 10.123.240.6 Source Port: 49204Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0This event is generated when a logon request fails. It is generated on the computer where access was attempted.The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).The Process Information fields indicate which account and process on the system requested the logon.The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.The authentication information fields provide detailed information about this specific logon request. - Transited services indicate which intermediate services have participated in this logon request. - Package name indicates which sub-protocol was used among the NTLM protocols. - Key length indicates the length of the generated session key. This will be 0 if no session key was requested. Ich hab auch mal recherchiert. Das einzge nützliche was ich gefunden habe ist folgendes: 0xC000006A user name is correct but the password is wrong https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4625 Das Passwort wird aber nicht (zumindest vom User) falsch eingegeben... Irgendwas anderes scheint weshalb auch immer ein falsches PW einzugeben... Es gibt auch einen localen Account welcher den VPN über die AUfgabenplanung im hintergrund staret. Kann es damit zusammenhängen? Eigentlich nicht, weill A. Als Logontype 3 steht (network) und B: ich das problem auch auf allen anderen Rechnern/Accounts haben müsste... Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Februar 2016 Melden Teilen Geschrieben 8. Februar 2016 Kannst du mal in der DomainGPO nachsehen, welches "LAN Manager Authentication Level" ihr gesetzt habt. (Security Options -> Network Security -> Lan Manager authentication level) https://technet.microsoft.com/de-de/magazine/2006.08.securitywatch%28en-us%29.aspx Der User versucht luat deinem Log sich mit NTLM zu authentisieren. Falls deine DCs wegen der Policy nur NTLMv2 akzeptieren (was prinzipiell gut ist und nicht aufgeweicht werden sollte!), dann schlägt die Anmeldung byDesign fehl. alte, falsch konfigurierte Safari-Browser und mindestens 14 weitere Gründe können am Client die Ursache sein, dass diese nur NTLMv1 nutzen können. https://wiki.cac.washington.edu/display/UWWI/NTLMv1+Removal+-+Known+Problems+and+Workarounds ist aber ein Schuss ins Blaue! blub Zitieren Link zu diesem Kommentar
Grecho 0 Geschrieben 10. Februar 2016 Autor Melden Teilen Geschrieben 10. Februar 2016 Ich bin mir nicht sicher ob wir das gleiche meinen... denn ich finde nichts mit NTLM... Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 10. Februar 2016 Melden Teilen Geschrieben 10. Februar 2016 Hi, hier stehts beschrieben. https://technet.microsoft.com/en-us/library/mt629079%28v=vs.85%29.aspx Wenn es sein könnte, dass die betroffenen User nicht mehr aktuelle Methoden/ Applikationen/ Betriebssysteme zur Authentifizierung benutzen und es du dir securitytechnisch erlauben kannst, dann kann du testweise ein paar Tage den "Registry security level" auf 2 (NTLM only) setzen und sehen ob die Probleme und der Event noch aufteten. Default (not configured) bedeutet "3", mindestens dahin bitte auch nach dem Test schnell wieder zurückkehren. blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.