Fehlgeschlagene Anmeldeversuche von Clients am Server (EreignisID: 4625)
Erneut einen guten Tag allerseits!
Ich komme gleich zur Sache:
Wir haben ein RMM und bei zwei verschiedenen Kunden kommen immer fehlgeschlagene Anmeldeversuche aus dem internen Netzwerk. (von Clients an den Servern)
Fehler-ID in der Ereignisanzeige ist 4625
Bei einem Kunden ist es immer der gleiche Client der mit dem Computerkonto CK1$ versucht sich anzumelden. (CK1 ist auch der Hostname)
Hier vermute ich das es damit zusammenhängt, das dieser Client der einzige ist der nicht in der Domäne ist
- und versucht sich mit seinem Computernamen an der Domäne anzumelden
Kurz: Alle anderen Clients sind in der Domäne. Nur dieser Client nicht. Das würden wir vorerst auch so belassen.
Habt Ihr eine Idee wie ich da vorgehen kann damit dieser Client nicht immer versucht sich mit seinem Computerkonto CK1$ an der Domäne DC1 anzumelden?
Wir würden uns freuen wenn wir eine Lösung haben damit nicht täglich wenn der Client an ist, diese Anmeldeversuche erfolgen.
(P.S.: Ich habe gehört das Computerkonten alle 30 Tage ein neues Computerkontopasswort in der Domäne generieren. Vllt. hängt es damit zusammen?)
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: CK1$
Kontodomäne: Domain
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: CK1
Quellnetzwerkadresse: Privat-C.120
Quellport: 49765
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {----}
EventID 4625
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8010000000000000
- TimeCreated
[ SystemTime] 2021-11-29T09:11:54.987384200Z
EventRecordID
Correlation
- Execution
[ ProcessID] 888
[ ThreadID] 1372
Channel Security
Computer server.domain.tld
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName CK1$
TargetDomainName Domain
Status 0xc000006d
FailureReason %%2313
SubStatus 0xc000006a
LogonType 3
LogonProcessName NtLmSsp
AuthenticationPackageName NTLM
WorkstationName CK1
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress Privat-C.120
IpPort 49765
Beim anderen Kunden gibt es verschiedene Clients die sich mit versuchen mit Benutzeraccounts anzumelden.
Zur Zeit haben wir Anmeldeversuche von UAC1 und UAC2. Kein Gerät ist zur Zeit Mitglied der Domäne - das heißt alle Accounts sind lokal auf dem PC - der Grund dafür ist das vor vielen Jahren eine Software benötigt wurde die nicht mit Windows Domänen funktionierte - ob das immer noch so ist weiß ich nicht - aber ich denke wir werden die Anmeldungen noch eine Weile so laufen lassen.
Das heißt - die lokale Anmeldung läuft mit einem Benutzernamen (UAC1 und UAC2) - und diese Benutzernamen versuchen sich am SV1 anzumelden.
Mittlerweile gibt es auch Anmeldeversuche von IPv6 Adressen.
Ich habe mir überlegt einfach IPv6 zu deaktivieren, die zur Zeit die meisten Anmeldeversuche ausmachen.
Hier würde ich gerne die Quellen ausmachen und die Anmeldeversuche unterbinden und hoffe Ihr könnt mir helfen/mich auf den richtigen Pfad führen.
Habe schon überlegt ob es mit den hinterlegten Credentials an den Netzlaufwerken zusammenhängt - da habe ich aber vor ca. 4 Wochen an allen Clients die Netzlaufwerke mit den korrekten Credentials überall frisch eingetragen damit der richtige Benutzer/die korrekten Berechtigungen angemeldet sind. (Domänenkonten auf Freigaben)
Jemand hat gemeint das es mit Network Discovery zusammenhängen kann - es sind hier Momentan nur 2 (von 6) Clients die versuchen sich anzumelden - und ich denke nicht das bei Network Discovery er versucht sich mit UAC1/UAC2 anzumelden? Die anderen Clients sind zur Zeit ruhig.
Es gab vor ca. 8 Wochen eine Änderung der Belegung der PCs. UAC2 hat früher einen anderen PC benutzt. UAC2 wurde dann an einem vorhandenen PC frisch eingerichtet und diesen PC benutzt er nun. An UAC2s alten PC ist ein anderer Mitarbeiter.
Bei UAC1 ist es ein Konto - bei dem es möglich ist das alte Software versucht sich am Server anzumelden - wie ich das genau herausfinde ist mir momentan noch etwas unklar.
Hier ein Log Auszug
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: UAC1
Kontodomäne: Kunde
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: DESKTOP-Client1
Quellnetzwerkadresse: Privates-C.120
Quellport: 50144
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {----}
EventID 4625
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8010000000000000
- TimeCreated
[ SystemTime] 2021-11-29T15:54:41.216851600Z
EventRecordID 29326644
Correlation
- Execution
[ ProcessID] 868
[ ThreadID] 12628
Channel Security
Computer Server.Kunde.local
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName UAC1
TargetDomainName Kunde
Status 0xc000006d
FailureReason %%2313
SubStatus 0xc000006a
LogonType 3
LogonProcessName NtLmSsp
AuthenticationPackageName NTLM
WorkstationName DESKTOP-Client1
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress Privat-C.120
IpPort 50144
Ich freue mich sehr über Fragen, Lösungen, Ideen, Antworten, etc. und bedanke mich schon mal für diese.
mfG Goodfred
Ich komme gleich zur Sache:
Wir haben ein RMM und bei zwei verschiedenen Kunden kommen immer fehlgeschlagene Anmeldeversuche aus dem internen Netzwerk. (von Clients an den Servern)
Fehler-ID in der Ereignisanzeige ist 4625
Bei einem Kunden ist es immer der gleiche Client der mit dem Computerkonto CK1$ versucht sich anzumelden. (CK1 ist auch der Hostname)
Hier vermute ich das es damit zusammenhängt, das dieser Client der einzige ist der nicht in der Domäne ist
- und versucht sich mit seinem Computernamen an der Domäne anzumelden
Kurz: Alle anderen Clients sind in der Domäne. Nur dieser Client nicht. Das würden wir vorerst auch so belassen.
Habt Ihr eine Idee wie ich da vorgehen kann damit dieser Client nicht immer versucht sich mit seinem Computerkonto CK1$ an der Domäne DC1 anzumelden?
Wir würden uns freuen wenn wir eine Lösung haben damit nicht täglich wenn der Client an ist, diese Anmeldeversuche erfolgen.
(P.S.: Ich habe gehört das Computerkonten alle 30 Tage ein neues Computerkontopasswort in der Domäne generieren. Vllt. hängt es damit zusammen?)
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: CK1$
Kontodomäne: Domain
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: CK1
Quellnetzwerkadresse: Privat-C.120
Quellport: 49765
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {----}
EventID 4625
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8010000000000000
- TimeCreated
[ SystemTime] 2021-11-29T09:11:54.987384200Z
EventRecordID
Correlation
- Execution
[ ProcessID] 888
[ ThreadID] 1372
Channel Security
Computer server.domain.tld
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName CK1$
TargetDomainName Domain
Status 0xc000006d
FailureReason %%2313
SubStatus 0xc000006a
LogonType 3
LogonProcessName NtLmSsp
AuthenticationPackageName NTLM
WorkstationName CK1
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress Privat-C.120
IpPort 49765
Beim anderen Kunden gibt es verschiedene Clients die sich mit versuchen mit Benutzeraccounts anzumelden.
Zur Zeit haben wir Anmeldeversuche von UAC1 und UAC2. Kein Gerät ist zur Zeit Mitglied der Domäne - das heißt alle Accounts sind lokal auf dem PC - der Grund dafür ist das vor vielen Jahren eine Software benötigt wurde die nicht mit Windows Domänen funktionierte - ob das immer noch so ist weiß ich nicht - aber ich denke wir werden die Anmeldungen noch eine Weile so laufen lassen.
Das heißt - die lokale Anmeldung läuft mit einem Benutzernamen (UAC1 und UAC2) - und diese Benutzernamen versuchen sich am SV1 anzumelden.
Mittlerweile gibt es auch Anmeldeversuche von IPv6 Adressen.
Ich habe mir überlegt einfach IPv6 zu deaktivieren, die zur Zeit die meisten Anmeldeversuche ausmachen.
Hier würde ich gerne die Quellen ausmachen und die Anmeldeversuche unterbinden und hoffe Ihr könnt mir helfen/mich auf den richtigen Pfad führen.
Habe schon überlegt ob es mit den hinterlegten Credentials an den Netzlaufwerken zusammenhängt - da habe ich aber vor ca. 4 Wochen an allen Clients die Netzlaufwerke mit den korrekten Credentials überall frisch eingetragen damit der richtige Benutzer/die korrekten Berechtigungen angemeldet sind. (Domänenkonten auf Freigaben)
Jemand hat gemeint das es mit Network Discovery zusammenhängen kann - es sind hier Momentan nur 2 (von 6) Clients die versuchen sich anzumelden - und ich denke nicht das bei Network Discovery er versucht sich mit UAC1/UAC2 anzumelden? Die anderen Clients sind zur Zeit ruhig.
Es gab vor ca. 8 Wochen eine Änderung der Belegung der PCs. UAC2 hat früher einen anderen PC benutzt. UAC2 wurde dann an einem vorhandenen PC frisch eingerichtet und diesen PC benutzt er nun. An UAC2s alten PC ist ein anderer Mitarbeiter.
Bei UAC1 ist es ein Konto - bei dem es möglich ist das alte Software versucht sich am Server anzumelden - wie ich das genau herausfinde ist mir momentan noch etwas unklar.
Hier ein Log Auszug
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: UAC1
Kontodomäne: Kunde
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: DESKTOP-Client1
Quellnetzwerkadresse: Privates-C.120
Quellport: 50144
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {----}
EventID 4625
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8010000000000000
- TimeCreated
[ SystemTime] 2021-11-29T15:54:41.216851600Z
EventRecordID 29326644
Correlation
- Execution
[ ProcessID] 868
[ ThreadID] 12628
Channel Security
Computer Server.Kunde.local
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName UAC1
TargetDomainName Kunde
Status 0xc000006d
FailureReason %%2313
SubStatus 0xc000006a
LogonType 3
LogonProcessName NtLmSsp
AuthenticationPackageName NTLM
WorkstationName DESKTOP-Client1
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress Privat-C.120
IpPort 50144
Ich freue mich sehr über Fragen, Lösungen, Ideen, Antworten, etc. und bedanke mich schon mal für diese.
mfG Goodfred
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1572196944
Url: https://administrator.de/forum/fehlgeschlagene-anmeldeversuche-von-clients-am-server-ereignisid-4625-1572196944.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
15 Kommentare
Neuester Kommentar
Zitat von @Goodfred:
V-LANs? Das ist in diesem Fall blöd da die Clients den Server erreichen können müssen.
...
Können sie doch! Wenn der IT-Dienstleister Ahnung hat.V-LANs? Das ist in diesem Fall blöd da die Clients den Server erreichen können müssen.
...
Moin,
nur ein paar Kommentare von mir:
Gruß
Doskias
nur ein paar Kommentare von mir:
Zitat von @Goodfred:
Hier vermute ich das es damit zusammenhängt, das dieser Client der einzige ist der nicht in der Domäne ist
- und versucht sich mit seinem Computernamen an der Domäne anzumelden
Haben wir auch. Etwa 15 Clients die nicht in der Domäne sind (aus diversen Gründen). Keiner davon verursach den Fehler.Hier vermute ich das es damit zusammenhängt, das dieser Client der einzige ist der nicht in der Domäne ist
- und versucht sich mit seinem Computernamen an der Domäne anzumelden
Wir würden uns freuen wenn wir eine Lösung haben damit nicht täglich wenn der Client an ist, diese Anmeldeversuche erfolgen.
(P.S.: Ich habe gehört das Computerkonten alle 30 Tage ein neues Computerkontopasswort in der Domäne generieren. Vllt. hängt es damit zusammen?)
Halte ich für ausgeschlossen, denn der Client gehört ja gar nicht zur Domäne wie du schreibst. Wenn er nicht zur Domäne gehört, kann er auch die Vertrauensstellung nicht verlieren und der DC weißt ihm kein Kennwort zu.(P.S.: Ich habe gehört das Computerkonten alle 30 Tage ein neues Computerkontopasswort in der Domäne generieren. Vllt. hängt es damit zusammen?)
Beim anderen Kunden gibt es verschiedene Clients die sich mit versuchen mit Benutzeraccounts anzumelden.
Zur Zeit haben wir Anmeldeversuche von UAC1 und UAC2. Kein Gerät ist zur Zeit Mitglied der Domäne - das heißt alle Accounts sind lokal auf dem PC - der Grund dafür ist das vor vielen Jahren eine Software benötigt wurde die nicht mit Windows Domänen funktionierte - ob das immer noch so ist weiß ich nicht - aber ich denke wir werden die Anmeldungen noch eine Weile so laufen lassen.
Das heißt - die lokale Anmeldung läuft mit einem Benutzernamen (UAC1 und UAC2) - und diese Benutzernamen versuchen sich am SV1 anzumelden.
lokale Konten melden sich nie in der Domäne oder am Server an. Es sei denn du hast das was mit Skripts oder ähnlichem gebaut.Zur Zeit haben wir Anmeldeversuche von UAC1 und UAC2. Kein Gerät ist zur Zeit Mitglied der Domäne - das heißt alle Accounts sind lokal auf dem PC - der Grund dafür ist das vor vielen Jahren eine Software benötigt wurde die nicht mit Windows Domänen funktionierte - ob das immer noch so ist weiß ich nicht - aber ich denke wir werden die Anmeldungen noch eine Weile so laufen lassen.
Das heißt - die lokale Anmeldung läuft mit einem Benutzernamen (UAC1 und UAC2) - und diese Benutzernamen versuchen sich am SV1 anzumelden.
Mittlerweile gibt es auch Anmeldeversuche von IPv6 Adressen.
Ich habe mir überlegt einfach IPv6 zu deaktivieren, die zur Zeit die meisten Anmeldeversuche ausmachen.
Solange alle Seiten beide Protokolle behrrschen sollte es keinen Unterschied machen. Die Anfrage kommt ja bis zur richtigen Stelle durch.Ich habe mir überlegt einfach IPv6 zu deaktivieren, die zur Zeit die meisten Anmeldeversuche ausmachen.
Hier würde ich gerne die Quellen ausmachen und die Anmeldeversuche unterbinden und hoffe Ihr könnt mir helfen/mich auf den richtigen Pfad führen.
Was hast du denn schon als Ursache geprüft? Aufgabenplanung, Skripte, diese oben erwähnte Software?Habe schon überlegt ob es mit den hinterlegten Credentials an den Netzlaufwerken zusammenhängt - da habe ich aber vor ca. 4 Wochen an allen Clients die Netzlaufwerke mit den korrekten Credentials überall frisch eingetragen damit der richtige Benutzer/die korrekten Berechtigungen angemeldet sind. (Domänenkonten auf Freigaben)
Deiner Beschreibung nach her ausgeschlossen. Ungültige Credentials würden den Usernamen beinhalten. Du sagst ja aber, der Computername generiert den Fehler. Auf der anderen Seite: Nur weil du sie vor 4 Wochen überall korrekt eingetragen hast, heißt es nicht, dass die Anwender daran rumgefummelt haben Leider verstehe ich auf Anhieb nicht wie mein Problem mit V-LANs lösen soll?
(Ich glaube der Switch vor Ort ist sogar V-LAN fähig)
Ich glaube es ist etwas irritierend, da du 2 Kunden hast. Ich gehe davon aus, dass die beiden Kunden nicht auf dem gleichen Server arbeiten und du einen Kunden mit einem Server hast und einen weiteren mit einem anderen und beide das ähnliche Problem haben. Wenn aber 2 Kunden sich einen DC teilen, dann solltest du auch kein VLAN dazwischen hängen, sondern jeder Kunde bekommt seinen eigenen DC.(Ich glaube der Switch vor Ort ist sogar V-LAN fähig)
Nur die Clients voneinander durch V-LANs trennen sollte nichts bringen?
(pro Client ein V-LAN mit dem Server der in allen V-LANs hängt?! Muss gerade überlegen - aber ich denke es > sollte gehen das der Server in mehreren V-LANs hängt?! - da im nachhinein die Verbindung zum Server physikalisch/virtuell immer noch besteht löst das nicht mein Problem?!)
Vielleicht nochmal lieber VLAN nachlesen. jeden Client in 1 VLAN bedeutet, dass du alle VLANs am Server einrichten musst. das ist unnötig viel Aufwand. Wenn beide Kunden sich einen Server teilen, dann Kunde 1 bekommt VLAN A, Kunde 2 bekommt VLAN B, etc. Ich denke so war die VLAN-Idee gemeint(pro Client ein V-LAN mit dem Server der in allen V-LANs hängt?! Muss gerade überlegen - aber ich denke es > sollte gehen das der Server in mehreren V-LANs hängt?! - da im nachhinein die Verbindung zum Server physikalisch/virtuell immer noch besteht löst das nicht mein Problem?!)
Nachtrag: Meint Ihr ich solle eine Firewall dazwischenschalten? Halte ich ehrlich gesagt für eine unelegante Lösung
Wozu? Was soll die Firewall deiner Meinung zwischen Client und Server bewirken?Gruß
Doskias
Moin
Danke für die Aufklärung
Schau mal hier: vielleicht hilft dir das weiter:
https://social.technet.microsoft.com/Forums/de-DE/ef5c1755-96c7-4a2d-bdb ...
Gruß
Doskias
Zitat von @Goodfred:
Achso, tut mir leid wenn ich für Verwirrung gesorgt habe.
Die Kunden haben jeweils einen eigenen Server am eigenem Standort :D
Danke für eure Antworten bisher.
Achso, tut mir leid wenn ich für Verwirrung gesorgt habe.
Die Kunden haben jeweils einen eigenen Server am eigenem Standort :D
Danke für eure Antworten bisher.
Danke für die Aufklärung
Schau mal hier: vielleicht hilft dir das weiter:
https://social.technet.microsoft.com/Forums/de-DE/ef5c1755-96c7-4a2d-bdb ...
Gruß
Doskias