pischel 14 Geschrieben Dienstag um 15:04 Melden Geschrieben Dienstag um 15:04 Hallo ich habe bei uns im Netzwerk einen Windows Server 2025 für einen Endkunden in Betrieb genommen. Er ist erst einmal erst einmal nur reiner Fileserver. Er bekommt von unserem DC wo DHCP läuft eine IP. Nun ist mir aufgefallen das der neue Server Der Benutzer Administrator der Haken gesetzt wird das er deaktiviert ist. Anmelden kann ich mich aber mit dem Benutzer. Im Protokoll sehe ich das unser DC versucht sich da anzumelden aber wegen falschem PW fehlschlägt. Woher weiß unserer Dc überhaupt von dem Server außer das er im DNS und DHCP drin steht? Ich habe nichts gefunden warum unser DC diesen Server irgendwie anfragen könnte. Hat jemand eine Idee? LG Marcel
tesso 392 Geschrieben Dienstag um 15:41 Melden Geschrieben Dienstag um 15:41 Als Fileserver ist doch normalerweise ein Domainmember.
pischel 14 Geschrieben Dienstag um 15:44 Autor Melden Geschrieben Dienstag um 15:44 Wir ich schon sagte nein er wird nicht zu uns grhören. Dieser alleinige Server wird ohne AD zum Kunden geliefert.
NorbertFe 2.401 Geschrieben Dienstag um 17:28 Melden Geschrieben Dienstag um 17:28 vor 2 Stunden schrieb pischel: Im Protokoll sehe ich das unser DC versucht sich da anzumelden aber wegen falschem PW fehlschlägt. Welches Protokoll mit welcher Id und welcher Meldung genau?
teletubbieland 226 Geschrieben Dienstag um 17:29 Melden Geschrieben Dienstag um 17:29 Ketzerische Frage: wieso ist ein Kundenserver in Eurem Netzwerk?
pischel 14 Geschrieben Dienstag um 18:30 Autor Melden Geschrieben Dienstag um 18:30 vor einer Stunde schrieb teletubbieland: Ketzerische Frage: wieso ist ein Kundenserver in Eurem Netzwerk? weil wir für die grundinbetriebnahme kein extra netz aufspannen. Das Betriebsystem wird installiert und alle Updates eingespielt. Alles andere passiert vor Ort. Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: 05.05.2026 20:27:48 Ereignis-ID: 4625 Aufgabenkategorie:Logon Ebene: Informationen Schlüsselwörter:Überwachung gescheitert Benutzer: Nicht zutreffend Computer: zielserveraufdemdiemeldungentsteht Beschreibung: Fehler beim Anmelden eines Kontos. Antragsteller: Sicherheits-ID: NULL SID Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 3 Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: Administrator Kontodomäne: domain Fehlerinformationen: Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort. Status: 0xC000006D Unterstatus:: 0xC000006A Prozessinformationen: Aufrufprozess-ID: 0x0 Aufrufprozessname: - Netzwerkinformationen: Arbeitsstationsname: unserDC Quellnetzwerkadresse: 192.168.x.y Quellport: 50682 Detaillierte Authentifizierungsinformationen: Anmeldeprozess: NtLmSsp Authentifizierungspaket: NTLM Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> <EventID>4625</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2026-05-05T18:27:48.4547149Z" /> <EventRecordID>66953</EventRecordID> <Correlation ActivityID="{de11231d-dc97-0002-a923-11de97dcdc01}" /> <Execution ProcessID="1180" ThreadID="1888" /> <Channel>Security</Channel> <Computer>serverpfaff</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-0-0</Data> <Data Name="SubjectUserName">-</Data> <Data Name="SubjectDomainName">-</Data> <Data Name="SubjectLogonId">0x0</Data> <Data Name="TargetUserSid">S-1-0-0</Data> <Data Name="TargetUserName">Administrator</Data> <Data Name="TargetDomainName">BBVDOMAIN</Data> <Data Name="Status">0xc000006d</Data> <Data Name="FailureReason">%%2313</Data> <Data Name="SubStatus">0xc000006a</Data> <Data Name="LogonType">3</Data> <Data Name="LogonProcessName">NtLmSsp </Data> <Data Name="AuthenticationPackageName">NTLM</Data> <Data Name="WorkstationName">DC2022</Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">-</Data> <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x0</Data> <Data Name="ProcessName">-</Data> <Data Name="IpAddress">192.168.101.150</Data> <Data Name="IpPort">50682</Data> </EventData> </Event>
tesso 392 Geschrieben Dienstag um 18:45 Melden Geschrieben Dienstag um 18:45 Habt ihr ein Tool im Netz was Ip-adressen scannt und versucht zu connecten? Das ist eine Netzwerkanmeldung. NTLM deutet auf einen Versuch über IP zu verbinden.
NorbertFe 2.401 Geschrieben Dienstag um 19:25 Melden Geschrieben Dienstag um 19:25 (bearbeitet) Ggf. möchtest du noch eure konkreten Daten anonymisieren. Ich würde auch sagen, dass euer DC irgendwie versucht zuzugreifen (logon type 3). Warum das so ist, kann man natürlich nur mutmaßen. Ich würde aber schon aus diesem Grund empfehlen eben _nicht_ die "Grundinbetriebnahme" mit "kein extra netz aufspannen" zu realisieren. ;) Warum da der DC überhaupt an einen Nicht-Member Server rankommt, spricht auch eher für eine deaktivierte Hostfirewall auf eurem "grundinbetriebgenommenem" System- bearbeitet Dienstag um 19:26 von NorbertFe 1
Sunny61 853 Geschrieben Mittwoch um 09:40 Melden Geschrieben Mittwoch um 09:40 (bearbeitet) vor 14 Stunden schrieb NorbertFe: spricht auch eher für eine deaktivierte Hostfirewall auf eurem "grundinbetriebgenommenem" System Besser abschalten als konfigurieren, ist doch einfacher. :) @pischel Bitte zukünftig solche Fehlermeldungen in einem Code Block posten, ist übersichlicher. bearbeitet Mittwoch um 09:41 von Sunny61 3
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden