macewindu
Goto Top

Erfolglose Anmeldeversuche am DC (ID 4771)

Hallo,

ich habe seit unbestimmter Zeit im Ereignisprotokoll vom Konto Domäne\Administrator an den DC´s im Minutentakt erfolglose Anmeldeversuche (Ereignis-ID 4771). 0x18 bedeutet ja "falsches Kennwort".

dc_4771_events
dc_4771_events_details

Quelle ist unser Sicherungsserver - ist genau wie die DC´s ein 2008R2 Server und befindet sich im gleichen Subnet.
Habe versucht mit SmartSniff der Ursache auf den Grund zu gehen. Kann da aber nichts verwertbares rauslesen.

sniffer_quelle

Habe am Sicherungsserver alle Dienste und Tasks der Aufgabenplanung auf das korrekte Kennwort geprüft und den Server neu gestartet. Im Tresor der Anmeldeverwaltung stehen Einträge ohne Zugangsdaten drin. Keine Ahnung ob das so OK ist. Bin mir nicht sicher ob ich diese ohne Folgeprobleme aus dem Tresor entfernen kann (?).

tresor

Beide Rechner befinden sich natürlich in der Domäne, und es treten sonst keine weiteren erkennbaren Probleme auf. Aber meine Ereignisanzeige wird zugespammt.
Meine Frage: Welche Möglichkeiten habe ich um die Ursache der erfolglosen Anmeldeversuche zu finden?

SG, Mace Windu

Content-ID: 356341

Url: https://administrator.de/forum/erfolglose-anmeldeversuche-am-dc-id-4771-356341.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

VGem-e
VGem-e 28.11.2017 um 09:05:49 Uhr
Goto Top
Moin,

mal als Hinweis:
"überpinsele" mal noch den Firmennamen im Screenshot, nicht dass noch jemand weiss, dass Du bei der L.... GMBH tätig bist!

Gruß
VGem-e
Coreknabe
Coreknabe 28.11.2017 um 09:18:52 Uhr
Goto Top
Moin,

was sagen denn die Logs des Sicherungsservers und womit wird gesichert? Da wird es doch irgendwo ein Zugriffsproblem geben. Und wozu welche User angelegt sind und welche noch gebraucht werden, sollte der Administrator wissen. Frag den doch mal :-P

Gruß
MaceWindu
MaceWindu 28.11.2017 aktualisiert um 09:33:38 Uhr
Goto Top
"überpinsele" mal noch den Firmennamen im Screenshot
Oops face-smile, thx. Da ist mir eines durchgewischt.
MaceWindu
MaceWindu 28.11.2017 aktualisiert um 09:43:03 Uhr
Goto Top
Wahrscheinlich hast du den Beitrag gerade in den 2 Minuten gelesen in denen ich das Bild mit dem nicht vollständig überpinselten Bild entfernt hatte.

womit wird gesichert?
Veeam V9.5

Da wird es doch irgendwo ein Zugriffsproblem geben.
Ja, um das geht es. Das zu finden ist das Ziel.

Und wozu welche User angelegt sind und welche noch gebraucht werden, sollte der Administrator wissen. Frag den doch mal :-P
Wie bereits gesagt du konntest das letzte Bild nicht sehen. Da stehen Einträge ohne Zugangsdaten drin. Kann aber nicht sagen ob das so gehört oder ob das durch ein Versionsupdate o.ä. passiert ist. Glaube aber eher nicht dass das die Ursache ist. Denn im Tresor ist kein Benutzername eingetragen, im Ereignisprotokoll steht aber definitiv der Administrator als "Zugreifer" drin.
Coreknabe
Coreknabe 28.11.2017 um 09:57:39 Uhr
Goto Top
Ich mag mich täuschen, aber das hat mit dem Tresor überhaupt nix zu tun. Veeam speichert die Anmeldedaten doch selbst. Also alle Backupjobs durchklickern und prüfen, welcher User verwendet wird. Im Dropdownmenü siehst Du dann alle User, die Veeam kennt.
MaceWindu
MaceWindu 28.11.2017 um 10:19:39 Uhr
Goto Top
Ich mag mich täuschen, aber das hat mit dem Tresor überhaupt nix zu tun.
Behaupte auch nicht das die Daten im Tresor der Verursacher sind. Versuche nur mögliche Fäden gedanklich herbei zu spinnen.

Veeam speichert die Anmeldedaten doch selbst.
Ja, stimmt. Veaam besteht aber aus mehr als nur Sicherungsjobs. SQL, Veeam One Business, Veeam One Reporter etc. Sieht man ja im Tresor.

Also alle Backupjobs durchklickern und prüfen, welcher User verwendet wird. Im Dropdownmenü siehst Du dann alle User, die Veeam kennt.
Ja, der Domänen-Administrator ist halt eingetragen. Kann nicht erkennen auf was du hinaus willst.
Dani
Dani 28.11.2017 um 12:09:48 Uhr
Goto Top
Moin,
der Fehlercode 0x18 deutet auf ein falsches PAsswort hin. Da bist du schon mal auf der richtigen Spur.

Ich würde auf der Kiste erstmal alle Jobs, Dienste anhalten und kontrollieren, ob die Anmeldeversuche aufhören. So zusagen die Gegenprobe, dass du an der richtigen Stelle suchst. Anschließend nach und nach einzelene Jobs/Dienste wieder starten. Irgendwann erscheinen die Events wieder und damit steht fest, wer der Verursacher ist.


Gruß,
Dani
Coreknabe
Coreknabe 28.11.2017 um 12:12:25 Uhr
Goto Top
Veeam speichert die Anmeldedaten doch selbst.
Ja, stimmt. Veaam besteht aber aus mehr als nur Sicherungsjobs. SQL, Veeam One Business, Veeam One Reporter etc. Sieht man ja im Tresor.

Warum sollten diese Daten im Tresor stehen?!? Vielleicht zur Verdeutlichung noch mal das hier lesen:
https://technet.microsoft.com/de-de/library/jj554668(v=ws.11).aspx

>> Ja, der Domänen-Administrator ist halt eingetragen. Kann nicht erkennen auf was du hinaus willst.
Ganz einfach, Du willst herausfinden, wer diese Zugriffe verursacht. Was sind das für Daten, die da im Tresor hinterlegt sind? Da wird ja kaum der lokale Admin drinstehen. Alle Daten, die Du nicht zuordnen kannst, sollten doch überflüssig sein. Und einen Benutzer, für den ein falsches Passwort hinterlegt ist, kannst Du dort auch gleich löschen, Anmeldung funktioniert ja eh nicht.

Ansonsten schau mal hier:
https://community.spiceworks.com/topic/578579-audit-failure-event-id-477 ...
134464
134464 28.11.2017 aktualisiert um 12:22:20 Uhr
Goto Top
Ich will ja nicht meckern, aber "den" Administrator der Domäne in den Tresor eines anderen Servers/Computers zu hinterlegen ist schon derb Fahrlässig. So jemand gehört gehörig mit CAT9 verdroschen!! Das würde ich als erstes beheben und dafür spezielle Service-Accounts anlegen und verwenden! "Least Privilege" heißt die Devise.
Wenn du willst das deine Domäne bald von jemand Fremden gesteuert wird, nur zu, das ist absolut unverantwortlich. Selbst Domain-Admin Accounts verwendet man für solche Art Aufgaben nie nie nie nie niemals, das machen nur absolute Anfänger weil sie es entweder nicht besser wissen oder zu bequem sind, sorry. Jeder weiß wie einfach es ist gecachte Credentials aus einer laufenden Maschine zu extrahieren (Stichwort: Golden Ticket).

Außerdem wird sich die Anwendung die diese Credentials verwendet schon auf deinem Server in irgendeiner Art log mit einer Fehlermeldung verewigen. Danach schauen und anpassen.