6
Win2003 An-Abmeldung im Sekundentakt (Ergeignisprotokoll)
User werden den ganzen Tag automatisch an und abgemeldet...
Hallo,
die Suche brachte leider nichts, daher jetzt meine Frage:
Unter Windows 2003 steht im Ereignisprotokoll, dass die User im Sekundentakt an/abgemeldet werden. Es gibt insegesamt ca. 20 Rechner im Netz und bei allen ist das so. Es gibt auch kein klares Muster z.B. keine bestimmte Reihenfolge der Rechner.
Auffallend ist, dass sich meistens nur der Rechner abgemeldet, aber nicht der Benutzer. 2 Sekunden Kurz nach dem Abmeldeereigniss kommt dann ein Anmeldeereignis für den Rechner. Bei den Benutzern ist das ähnlich, aber wesentlich seltener. Ich habe das Protokoll gelöscht und mal 30 Minuten laufen lassen. Wie man sieht, wurden in der Zeit gut 2000 Einträge gemacht.
Konkret sehen die Meldungen für einen kompletten Vorgang so (Beispiel Rechner,Namen geändert):
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 13.08.2007
Zeit: 09:41:34
Benutzer: NAME-COMPUTER$
Computer: SERVER
Beschreibung:
Benutzerabmeldung:
Benutzername: NAME-COMPUTER$
Domäne: DOMÄNE
Anmeldekennung: (0x0,0x25AB9F65)
Anmeldetyp: 3
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 13.08.2007
Zeit: 09:41:55
Benutzer: NAME-RECHNER$
Computer: SERVER
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: NAME-RECHNER$
Domäne: DOMÄNE
Anmeldekennung: (0x0,0x25ABC9D1)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {e8192c56-3bb0-37dd-28f6-887ba383dbfc}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.XXX.XXX
Quellport: 0
Wie kann das sein ??
MfG
schmiddi998
ps. Noch wesentlicher häufiger meldet sich der Benutzer "SYSTEM" an und ab. Ist das normal ??
die Suche brachte leider nichts, daher jetzt meine Frage:
Unter Windows 2003 steht im Ereignisprotokoll, dass die User im Sekundentakt an/abgemeldet werden. Es gibt insegesamt ca. 20 Rechner im Netz und bei allen ist das so. Es gibt auch kein klares Muster z.B. keine bestimmte Reihenfolge der Rechner.
Auffallend ist, dass sich meistens nur der Rechner abgemeldet, aber nicht der Benutzer. 2 Sekunden Kurz nach dem Abmeldeereigniss kommt dann ein Anmeldeereignis für den Rechner. Bei den Benutzern ist das ähnlich, aber wesentlich seltener. Ich habe das Protokoll gelöscht und mal 30 Minuten laufen lassen. Wie man sieht, wurden in der Zeit gut 2000 Einträge gemacht.
Konkret sehen die Meldungen für einen kompletten Vorgang so (Beispiel Rechner,Namen geändert):
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 13.08.2007
Zeit: 09:41:34
Benutzer: NAME-COMPUTER$
Computer: SERVER
Beschreibung:
Benutzerabmeldung:
Benutzername: NAME-COMPUTER$
Domäne: DOMÄNE
Anmeldekennung: (0x0,0x25AB9F65)
Anmeldetyp: 3
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 13.08.2007
Zeit: 09:41:55
Benutzer: NAME-RECHNER$
Computer: SERVER
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: NAME-RECHNER$
Domäne: DOMÄNE
Anmeldekennung: (0x0,0x25ABC9D1)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {e8192c56-3bb0-37dd-28f6-887ba383dbfc}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.XXX.XXX
Quellport: 0
Wie kann das sein ??
MfG
schmiddi998
ps. Noch wesentlicher häufiger meldet sich der Benutzer "SYSTEM" an und ab. Ist das normal ??
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 66030
Url: https://administrator.de/contentid/66030
Printed on: April 23, 2024 at 11:04 o'clock
6 Comments
Latest comment
Hallo,
hast Du selbst was rausbekommen zu der Problematik?
Bin heute ebenso über über die vielen Einträge gestolpert und weiß nicht woher.
Wäre schön zu wissen wie es bei Dir weiterging, da keine Antworten zu Deine Frage eingegangen sind.
Thomas
hast Du selbst was rausbekommen zu der Problematik?
Bin heute ebenso über über die vielen Einträge gestolpert und weiß nicht woher.
Wäre schön zu wissen wie es bei Dir weiterging, da keine Antworten zu Deine Frage eingegangen sind.
Thomas
Nein, kam bisher nichts. Und da ich sonst keine Probleme außer den vielen Einträgen habe, lasse ich es erstmal so.
Aber es beruht auf Gegenseitigkeit: wenn Du was rausbekommen solltest, würde mich das sehr interessieren.
Aber es beruht auf Gegenseitigkeit: wenn Du was rausbekommen solltest, würde mich das sehr interessieren.
Hallo, ich habe mich extra wegen dem gleichen Problem hier angemeldet, in der Hoffnung auf Hilfe.
Ich habe auf einem Win2k3 SBS auch das Problem, dass sich im Sicherheitslog ein nicht endend wollender Berg an An/Abmeldungen befindet.
Nach genau 10Stunden dann fliegen 2 User vom Server, mit der Fehlermeldung dass die User als Sicherheitsgefahr herabgestuft worden sind und damit ist alles was am Server geöffnet war hinüber.
Nur ein Neustart des Clients behebt das Problem, jedoch sind dann alle getätigten Sachen weg.
Und das geschieht in der Regel um 18 Uhr, also zur besten Feierabend-schnellnochdenrest-Abarbeitszeit.
Ich habe auf einem Win2k3 SBS auch das Problem, dass sich im Sicherheitslog ein nicht endend wollender Berg an An/Abmeldungen befindet.
Nach genau 10Stunden dann fliegen 2 User vom Server, mit der Fehlermeldung dass die User als Sicherheitsgefahr herabgestuft worden sind und damit ist alles was am Server geöffnet war hinüber.
Nur ein Neustart des Clients behebt das Problem, jedoch sind dann alle getätigten Sachen weg.
Und das geschieht in der Regel um 18 Uhr, also zur besten Feierabend-schnellnochdenrest-Abarbeitszeit.
Das Problem, dass dann Sachen weg sind, hab ich Gott sei Dank nicht. Nervt halt nur tierisch, dass das Protokoll sinnlos dichtge*en wird. Evtl. wichtigere Meldungen gehen dann unter.
OK, mittels der GPC könnte man vermutlich diese Meldungen ausschalten, aber dann ist erstens das Problem nicht gelöst und zweitens will ich ja in bestimmten Situationen wissen, wann sich wer anmeldet.
OK, mittels der GPC könnte man vermutlich diese Meldungen ausschalten, aber dann ist erstens das Problem nicht gelöst und zweitens will ich ja in bestimmten Situationen wissen, wann sich wer anmeldet.
Na fein, dann bin ich ja nicht einzigste auf der Suche nach der Lösung des Problemes.
Bei meinem Kunden habe ich auch diese Mengen an An/Abmeldungen im Ereignisprotokoll.
Ja und ich habe auch diese Merkwürdige Client-Trennung nach 10 Stunden, das ist bei meinem Kunden um ziemlich genau 17 Uhr. Dann sind die Netzlaufwerke weg und eine Port-Verbindung zur Datenbank auch.
Schon jemand einen Schritt weiter ?
Bei meinem Kunden habe ich auch diese Mengen an An/Abmeldungen im Ereignisprotokoll.
Ja und ich habe auch diese Merkwürdige Client-Trennung nach 10 Stunden, das ist bei meinem Kunden um ziemlich genau 17 Uhr. Dann sind die Netzlaufwerke weg und eine Port-Verbindung zur Datenbank auch.
Schon jemand einen Schritt weiter ?
Hallo,
habe dieses Problem auch schon seit einiger Zeit ... hat jemand dafür eine Lösung gefunden?
Grüße
Andreas
habe dieses Problem auch schon seit einiger Zeit ... hat jemand dafür eine Lösung gefunden?
Grüße
Andreas
