9
Microsoft Windows security auditing. Eventlog-ID: 4625
Guten Tag liebe Kollegen,
ich bin neu hier, deshalb seht mir das nach, falls ich öfters nachfrage.
Ich habe einen Eintrag der versucht sich ständig anzumelden.
Ich weiß allerdings nicht woher und warum?
Hat jemand ein ähnliches Problem das er schon gelöst?
Danke schon mal vorab für eure Antworten.
Ich habe im Eventlog 4625 mit folgende Beschreibung.
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname:
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Die NetLogon-Komponente ist nicht aktiv.
Status: 0xC0000192
Unterstatus:: 0x80090325
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Schannel
Authentifizierungspaket: Microsoft Unified Security Protocol Provider
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
ich bin neu hier, deshalb seht mir das nach, falls ich öfters nachfrage.
Ich habe einen Eintrag der versucht sich ständig anzumelden.
Ich weiß allerdings nicht woher und warum?
Hat jemand ein ähnliches Problem das er schon gelöst?
Danke schon mal vorab für eure Antworten.
Ich habe im Eventlog 4625 mit folgende Beschreibung.
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname:
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Die NetLogon-Komponente ist nicht aktiv.
Status: 0xC0000192
Unterstatus:: 0x80090325
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Schannel
Authentifizierungspaket: Microsoft Unified Security Protocol Provider
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 627092
Url: https://administrator.de/forum/microsoft-windows-security-auditing-eventlog-id-4625-627092.html
Ausgedruckt am: 22.04.2025 um 09:04 Uhr
9 Kommentare
Neuester Kommentar
Moin,
docs.microsoft.com/de-de/windows/security/threat-protection/auditing/event-4625
ganz am ende steht:
0XC0000192 – "Es wurde versucht, sich anzumelden, aber der Netlogon-Dienst wurde nicht gestartet".
Dieses Problem ist in der Regel kein Sicherheitsproblem, es kann aber auch ein Infrastruktur-oder Verfügbarkeitsproblem sein.
docs.microsoft.com/de-de/windows/security/threat-protection/auditing/event-4625
ganz am ende steht:
0XC0000192 – "Es wurde versucht, sich anzumelden, aber der Netlogon-Dienst wurde nicht gestartet".
Dieses Problem ist in der Regel kein Sicherheitsproblem, es kann aber auch ein Infrastruktur-oder Verfügbarkeitsproblem sein.
Hallo Tektronix,
vielen Dank für deine Antwort.
das habe ich auch herausgefunden, allerdings kann ich damit nicht viel anfangen.
Kann es was mit der Kennwortrichtlinie zu tun haben oder abgelaufene Passwörter?
vielen Dank für deine Antwort.
das habe ich auch herausgefunden, allerdings kann ich damit nicht viel anfangen.
Kann es was mit der Kennwortrichtlinie zu tun haben oder abgelaufene Passwörter?
Eigentlich dürfte es nur an dem Dienst liegen,
eventuell DNS wegen Domainlocator.
eventuell DNS wegen Domainlocator.
Der Dienst lässt sich nicht starten, weil dieser Server nicht in der Domäne ist.
Dann kommt dieser Fehler zusätzlich.
Event ID 3095
Dieser Computer ist als Mitglied einer Arbeitsgruppe konfiguriert, nicht als Mitglied einer Domäne. Der Anmeldedienst braucht bei dieser Konfiguration nicht gestartet zu sein.
Dann kommt dieser Fehler zusätzlich.
Event ID 3095
Dieser Computer ist als Mitglied einer Arbeitsgruppe konfiguriert, nicht als Mitglied einer Domäne. Der Anmeldedienst braucht bei dieser Konfiguration nicht gestartet zu sein.
Hi,
schau Dir das nochmal an:
social.technet.microsoft.com/Forums/Lync/en-US/c6b0d058-98d0-4572-8a72-e18e353b04fd/numerous-4625-errors-in-the-event-log?forum=winserversecurity
0x80090325 = UntrustedRoot
Eventuell selbst signiertes Zertifikat?
schau Dir das nochmal an:
social.technet.microsoft.com/Forums/Lync/en-US/c6b0d058-98d0-4572-8a72-e18e353b04fd/numerous-4625-errors-in-the-event-log?forum=winserversecurity
0x80090325 = UntrustedRoot
Eventuell selbst signiertes Zertifikat?
Hi,
leider hat das alles nichts gebracht...
Habe einiges was in den Links steht probiert, leider ohne Erfolg.
leider hat das alles nichts gebracht...
Habe einiges was in den Links steht probiert, leider ohne Erfolg.
Hallo Zusammen,
leider habe ich immer noch keine Lösung zu diesem Problem.
Ich habe jetzt nur den Tipp bekommen es soll was mit einem TLS/SSL Handshake zu tun haben.
Leider weiß ich nicht wo ich da ansetzen soll.
Hat jemand evtl. eine Idee?
Danke und Grüße
leider habe ich immer noch keine Lösung zu diesem Problem.
Ich habe jetzt nur den Tipp bekommen es soll was mit einem TLS/SSL Handshake zu tun haben.
Leider weiß ich nicht wo ich da ansetzen soll.
Hat jemand evtl. eine Idee?
Danke und Grüße
Moin,
gehe mal Systemsteuerung, Internetoptionen und schaue ob ssl 3.0 raus ist, und TLS 1.0.
gehe mal Systemsteuerung, Internetoptionen und schaue ob ssl 3.0 raus ist, und TLS 1.0.
Moin,
Danke für die Antwort.
Ich habe es mal genauso wie auf deinem Screenshot gemacht.
Mal sehen ob es so funktioniert.
Viele Grüße
Danke für die Antwort.
Ich habe es mal genauso wie auf deinem Screenshot gemacht.
Mal sehen ob es so funktioniert.
Viele Grüße
