minimalwerk
Goto Top

Ereignis ID 4625 kann nicht zugeordnet werden

Schönen guten Morgen liebe Administrator Community,

Ich habe derzeit auf einem Server täglich bis zu 400 Security Events mit der ID 4625 und kann diese nicht zuordnen, was genau dieses Problem verursacht. Wahrscheinlich verstehe ich das LOG nicht ganz und würde mich über eine Hilfe/Erklärung freuen.

Folgend ein Ereignis Log:

Fehler beim Anmelden eines Kontos.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		AS$
	Kontodomäne:	Blue
	Anmelde-ID:		0x3E7

Anmeldetyp:			4

Konto, für das die Anmeldung fehlgeschlagen ist:
	Sicherheits-ID:		NULL SID
	Kontoname:		svr-admin
	Kontodomäne:	Blue

Fehlerinformationen:
	Fehlerursache:		Unbekannter Benutzername oder ungültiges Kennwort.
	Status:			0xC000006D
	Unterstatus::		0xC000006A

Prozessinformationen:
	Aufrufprozess-ID:	0x78c
	Aufrufprozessname:	C:\Windows\System32\svchost.exe

Netzwerkinformationen:
	Arbeitsstationsname:	AS
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".  

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.


Dieses Ereignis wird auf einem Server mit dem Hostnamen "AS" erzeugt. Der Benutzer "svr-admin" ist ein Serveradministrator-Konto und kann sich problemlos mit diesem Server verbinden. Es werden keine Dienste im Kontext dieses Benutzers ausgeführt.

Mit dem sysinternal Tool ProcessExplorer habe ich auch schon versucht herauszufinden, an welcher Stelle die svchost.exe dieses Ereignis auslöst, bin hier aber aufgrund mangelnder Kenntnisse nicht weitergekommen.

Habt Ihr noch Ideen?

Liebe Grüße,
Frank

Content-ID: 43600198253

Url: https://administrator.de/forum/ereignis-id-4625-kann-nicht-zugeordnet-werden-43600198253.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

Dawnbreaker
Lösung Dawnbreaker 11.04.2024 um 09:28:53 Uhr
Goto Top
Guten Morgen,

erster Gedanke meinerseits: Aufgabenplanung?

Liebe Grüße
Hubert.N
Lösung Hubert.N 11.04.2024 um 09:37:51 Uhr
Goto Top
Moin

... würde ich auch nachsehen. Der Logontype "4" deutet darauf hin.

Gruß
minimalwerk
minimalwerk 11.04.2024 um 10:09:57 Uhr
Goto Top
Ihr seid die Besten!
Das war es. Vielen lieben Dank an euch face-smile

Gruß