Administrator wird deaktiviert

[pischel 14]

Hallo

ich habe bei uns im Netzwerk einen Windows Server 2025 für einen Endkunden in Betrieb genommen. Er ist erst einmal erst einmal nur reiner Fileserver. Er bekommt von unserem DC wo DHCP läuft eine IP.

Nun ist mir aufgefallen das der neue Server Der Benutzer Administrator der Haken gesetzt wird das er deaktiviert ist. Anmelden kann ich mich aber mit dem Benutzer.

Im Protokoll sehe ich das unser DC versucht sich da anzumelden aber wegen falschem PW fehlschlägt. Woher weiß unserer Dc überhaupt von dem Server außer das er im DNS und DHCP drin steht? Ich habe nichts gefunden warum unser DC diesen Server irgendwie anfragen könnte.

Hat jemand eine Idee?

 

LG Marcel

[tesso 392]

Als Fileserver ist doch normalerweise ein Domainmember.

[pischel 14]

Wir ich schon sagte nein er wird nicht zu uns grhören. Dieser alleinige Server wird ohne AD zum Kunden geliefert.

[NorbertFe 2.401]

vor 2 Stunden schrieb pischel:

Im Protokoll sehe ich das unser DC versucht sich da anzumelden aber wegen falschem PW fehlschlägt.

Welches Protokoll mit welcher Id und welcher Meldung genau?

[teletubbieland 226]

Ketzerische Frage: wieso ist ein Kundenserver in Eurem Netzwerk?

 

[pischel 14]

vor einer Stunde schrieb teletubbieland:

Ketzerische Frage: wieso ist ein Kundenserver in Eurem Netzwerk?

 

 

weil wir für die grundinbetriebnahme kein extra netz aufspannen. Das Betriebsystem wird installiert und alle Updates eingespielt. Alles andere passiert vor Ort.

Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         05.05.2026 20:27:48
Ereignis-ID:   4625
Aufgabenkategorie:Logon
Ebene:         Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer:      Nicht zutreffend
Computer:      zielserveraufdemdiemeldungentsteht
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
    Sicherheits-ID:        NULL SID
    Kontoname:        -
    Kontodomäne:        -
    Anmelde-ID:        0x0

Anmeldetyp:            3

Konto, für das die Anmeldung fehlgeschlagen ist:
    Sicherheits-ID:        NULL SID
    Kontoname:        Administrator
    Kontodomäne:        domain

Fehlerinformationen:
    Fehlerursache:        Unbekannter Benutzername oder ungültiges Kennwort.
    Status:            0xC000006D
    Unterstatus::        0xC000006A

Prozessinformationen:
    Aufrufprozess-ID:    0x0
    Aufrufprozessname:    -

Netzwerkinformationen:
    Arbeitsstationsname:    unserDC
    Quellnetzwerkadresse:    192.168.x.y
    Quellport:        50682

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        NtLmSsp 
    Authentifizierungspaket:    NTLM
    Übertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schlüssellänge:        0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
    - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2026-05-05T18:27:48.4547149Z" />
    <EventRecordID>66953</EventRecordID>
    <Correlation ActivityID="{de11231d-dc97-0002-a923-11de97dcdc01}" />
    <Execution ProcessID="1180" ThreadID="1888" />
    <Channel>Security</Channel>
    <Computer>serverpfaff</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>
    <Data Name="SubjectUserName">-</Data>
    <Data Name="SubjectDomainName">-</Data>
    <Data Name="SubjectLogonId">0x0</Data>
    <Data Name="TargetUserSid">S-1-0-0</Data>
    <Data Name="TargetUserName">Administrator</Data>
    <Data Name="TargetDomainName">BBVDOMAIN</Data>
    <Data Name="Status">0xc000006d</Data>
    <Data Name="FailureReason">%%2313</Data>
    <Data Name="SubStatus">0xc000006a</Data>
    <Data Name="LogonType">3</Data>
    <Data Name="LogonProcessName">NtLmSsp </Data>
    <Data Name="AuthenticationPackageName">NTLM</Data>
    <Data Name="WorkstationName">DC2022</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x0</Data>
    <Data Name="ProcessName">-</Data>
    <Data Name="IpAddress">192.168.101.150</Data>
    <Data Name="IpPort">50682</Data>
  </EventData>
</Event>

[tesso 392]

Habt ihr ein Tool im Netz was Ip-adressen scannt und versucht zu connecten?

Das ist eine Netzwerkanmeldung. NTLM deutet auf einen Versuch über IP zu verbinden. 

[NorbertFe 2.401]

Ggf. möchtest du noch eure konkreten Daten anonymisieren. Ich würde auch sagen, dass euer DC irgendwie versucht zuzugreifen (logon type 3). Warum das so ist, kann man natürlich nur mutmaßen. Ich würde aber schon aus diesem Grund empfehlen eben _nicht_ die  "Grundinbetriebnahme" mit "kein extra netz aufspannen" zu realisieren. ;)

 

Warum da der DC überhaupt an einen Nicht-Member Server rankommt, spricht auch eher für eine deaktivierte Hostfirewall auf eurem "grundinbetriebgenommenem" System-

bearbeitet Dienstag um 19:26 von NorbertFe

[Sunny61 853]

vor 14 Stunden schrieb NorbertFe:

spricht auch eher für eine deaktivierte Hostfirewall auf eurem "grundinbetriebgenommenem" System

Besser abschalten als konfigurieren, ist doch einfacher. :)

 

@pischel Bitte zukünftig solche Fehlermeldungen in einem Code Block posten, ist übersichlicher.

bearbeitet Mittwoch um 09:41 von Sunny61