2
Fehlerhafte Anmeldeversuche Server
Hallo,
in der Ereignisanzeige auf meinem Server (Server2008R2) gab es die letzten Tage, über den Tag verteilt immer so ca. 20-30 fehlerhafte Login Versuche.
Ich kann nur leider nicht erkennen, wo/von wo versucht wurde sich anzumelden...
Es ist ein Netzwerk bestehend aus einem Server, sowie drei Windows 10 Clients.
Auf dem Server läuft auch ein Exchange 2010 SP3 (alles auf einer Maschine, ich weiß, nicht ideal - funktioniert aber tadelos)
Der Port 443 ist für OWA / Activesync nach außenhin offen, sowie 25 für den E-Mail Empfang.
Mehr nicht, alles weitere, RDP etc. läuft nur über VPN.
Der Eintrag im Eventlog sieht so aus:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: fred
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: Workstation
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Bei Kontoname "Fred" steht immer ein anderer Name, ftpuser, Garcia, Madlen etc.
Ansonsten ist der rest immer identisch.
Von wo wird versucht sich am Server anzumelden??
Wenn ich mich an OWA falsch anmelde, sehen die Einträge anders aus.
Den PC Namen "Workstation" gibt es bei uns nicht.
Bei Quellnetzwerkadresse: ist immer nur ein -, keine IP wird angezeigt.
Habt Ihr eine Idee?
Grüße
in der Ereignisanzeige auf meinem Server (Server2008R2) gab es die letzten Tage, über den Tag verteilt immer so ca. 20-30 fehlerhafte Login Versuche.
Ich kann nur leider nicht erkennen, wo/von wo versucht wurde sich anzumelden...
Es ist ein Netzwerk bestehend aus einem Server, sowie drei Windows 10 Clients.
Auf dem Server läuft auch ein Exchange 2010 SP3 (alles auf einer Maschine, ich weiß, nicht ideal - funktioniert aber tadelos)
Der Port 443 ist für OWA / Activesync nach außenhin offen, sowie 25 für den E-Mail Empfang.
Mehr nicht, alles weitere, RDP etc. läuft nur über VPN.
Der Eintrag im Eventlog sieht so aus:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: fred
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: Workstation
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Bei Kontoname "Fred" steht immer ein anderer Name, ftpuser, Garcia, Madlen etc.
Ansonsten ist der rest immer identisch.
Von wo wird versucht sich am Server anzumelden??
Wenn ich mich an OWA falsch anmelde, sehen die Einträge anders aus.
Den PC Namen "Workstation" gibt es bei uns nicht.
Bei Quellnetzwerkadresse: ist immer nur ein -, keine IP wird angezeigt.
Habt Ihr eine Idee?
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 304233
Url: https://administrator.de/contentid/304233
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
2 Kommentare
Neuester Kommentar
Hi
Ich werfe hier mal die üblichen Verdächtigen in den Raum:
- Hat dein Mitarbeiter spass Logins durchzuprobieren?
- Hat einer deiner PCs ein Virus?
- VPN verbindung geknackt, bzw. was für ein VPN verwendet ihr?
- Wie sehrn die Logs bei SMTP und IMAP Fehlern aus?
LG PPR
Ich werfe hier mal die üblichen Verdächtigen in den Raum:
- Hat dein Mitarbeiter spass Logins durchzuprobieren?
- Hat einer deiner PCs ein Virus?
- VPN verbindung geknackt, bzw. was für ein VPN verwendet ihr?
- Wie sehrn die Logs bei SMTP und IMAP Fehlern aus?
LG PPR
- Hat dein Mitarbeiter spass Logins durchzuprobieren?
Nein- Hat einer deiner PCs ein Virus?
Auch wenn unwahrscheinlich, sicher erstmal nicht auszuschließen.Es wundert mich aber, dass in dem Log bei Quellnetzwerkadresse nur ein - steht und keine IP von dem Client.
- VPN verbindung geknackt, bzw. was für ein VPN verwendet ihr?
IPSecHalte ich zwar für unwahrscheinlich, habe aber mal das logging in der Firewall aktiviert, bei aktivem Tunnelaufbau.
- Wie sehrn die Logs bei SMTP und IMAP Fehlern aus?
SMTP habe ich noch nicht reingeschaut.IMAP ist nicht aktiv.
LG PPR
