itse92
Goto Top

Fehlerhafte Anmeldeversuche Server

Hallo,

in der Ereignisanzeige auf meinem Server (Server2008R2) gab es die letzten Tage, über den Tag verteilt immer so ca. 20-30 fehlerhafte Login Versuche.

Ich kann nur leider nicht erkennen, wo/von wo versucht wurde sich anzumelden...

Es ist ein Netzwerk bestehend aus einem Server, sowie drei Windows 10 Clients.
Auf dem Server läuft auch ein Exchange 2010 SP3 (alles auf einer Maschine, ich weiß, nicht ideal - funktioniert aber tadelos)

Der Port 443 ist für OWA / Activesync nach außenhin offen, sowie 25 für den E-Mail Empfang.
Mehr nicht, alles weitere, RDP etc. läuft nur über VPN.

Der Eintrag im Eventlog sieht so aus:


Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: fred
Kontodomäne:

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: Workstation
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0



Bei Kontoname "Fred" steht immer ein anderer Name, ftpuser, Garcia, Madlen etc.
Ansonsten ist der rest immer identisch.

Von wo wird versucht sich am Server anzumelden??
Wenn ich mich an OWA falsch anmelde, sehen die Einträge anders aus.

Den PC Namen "Workstation" gibt es bei uns nicht.
Bei Quellnetzwerkadresse: ist immer nur ein -, keine IP wird angezeigt.

Habt Ihr eine Idee?

Grüße

Content-ID: 304233

Url: https://administrator.de/forum/fehlerhafte-anmeldeversuche-server-304233.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

fognet
fognet 11.05.2016 um 21:35:32 Uhr
Goto Top
Hi

Ich werfe hier mal die üblichen Verdächtigen in den Raum:
- Hat dein Mitarbeiter spass Logins durchzuprobieren?
- Hat einer deiner PCs ein Virus?
- VPN verbindung geknackt, bzw. was für ein VPN verwendet ihr?

- Wie sehrn die Logs bei SMTP und IMAP Fehlern aus?

LG PPR
itse92
itse92 11.05.2016 um 22:09:47 Uhr
Goto Top
- Hat dein Mitarbeiter spass Logins durchzuprobieren?
Nein

- Hat einer deiner PCs ein Virus?
Auch wenn unwahrscheinlich, sicher erstmal nicht auszuschließen.
Es wundert mich aber, dass in dem Log bei Quellnetzwerkadresse nur ein - steht und keine IP von dem Client.

- VPN verbindung geknackt, bzw. was für ein VPN verwendet ihr?
IPSec
Halte ich zwar für unwahrscheinlich, habe aber mal das logging in der Firewall aktiviert, bei aktivem Tunnelaufbau.

- Wie sehrn die Logs bei SMTP und IMAP Fehlern aus?
SMTP habe ich noch nicht reingeschaut.
IMAP ist nicht aktiv.

LG PPR