Fehlgeschlagene Anmeldungen auf Server

[chrismue 109]

Hallo Forum,

 

ich habe auf einem Kundenserver ca.900 fehlgeschlagene Anmeldungen eines User "guest" geloggt.

 

Fehler beim Anmelden eines Kontos.

Antragsteller:
	Sicherheits-ID:		NULL SID
	Kontoname:		-
	Kontodomäne:		-
	Anmelde-ID:		0x0

Anmeldetyp:			3

Konto, für das die Anmeldung fehlgeschlagen ist:
	Sicherheits-ID:		NULL SID
	Kontoname:		guest
	Kontodomäne:		

Fehlerinformationen:
	Fehlerursache:		Unbekannter Benutzername oder ungültiges Kennwort.
	Status:			0xC000006D
	Unterstatus::		0xC0000064

Prozessinformationen:
	Aufrufprozess-ID:	0x0
	Aufrufprozessname:	-

Netzwerkinformationen:
	Arbeitsstationsname:	\\10.10.4.3
	Quellnetzwerkadresse:	10.10.4.3
	Quellport:		51176

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		NtLmSsp 
	Authentifizierungspaket:	NTLM
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Quelle: Microsoft Windows Security

EventID: 4625

 

Ich habe anhand des Quellports 51176 lt dieser Anleitung https://helpdesk.estos.de/Knowledgebase/Article/View/116/9/howto-portbelegung-einer-applikation-herausfinden

herausgefunden, dass es sich um PID 1348 handelt.

 

Und das ist in diesem Fall der DNS Server.

 

Hat das schon mal jemand gesehen und ggf eine Erklärung dafür ?

 

Danke schon mal im vorraus.

 

Gruß

chrismue

 

[Tektronix 21]

Moin,

welche Rollen hosted Dein Server?

Wer hat die IP 10.10.4.3?

Fragen über Fragen.

[chrismue 109]

Das ist der DC selbst mit der 10.10.4.3

Rollen ADDS, DNS, DHCP

[chrismue 109]

Thema erledigt,
Ursache war eine Fehlkonfiguration in der Monitoring Software