13
Nach install von Win2k3 R2 SBS 538 540 576, bis zu 20x pro min.
Habe vor ein paar wochen meinen Server neu aufgesetzt habe komischerweise immer wieder
die Einträge 538 540 576 im Security Log. Also habe ich rumgeforscht und getetstet habe aber
die fehler nicht wegbekommen, so dann habe ich den Server mal auf einem anderen System
installiert. Und Siehe da auch dann wieder sekundenweise neue Logs von 538 540 576 von dem
User System.
Hat jmd. eine Idee was das sein könnte ?!
LG
V. Frank
NetAble
die Einträge 538 540 576 im Security Log. Also habe ich rumgeforscht und getetstet habe aber
die fehler nicht wegbekommen, so dann habe ich den Server mal auf einem anderen System
installiert. Und Siehe da auch dann wieder sekundenweise neue Logs von 538 540 576 von dem
User System.
Hat jmd. eine Idee was das sein könnte ?!
LG
V. Frank
NetAble
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 52181
Url: https://administrator.de/contentid/52181
Ausgedruckt am: 19.11.2024 um 17:11 Uhr
13 Kommentare
Neuester Kommentar
hi,
schau mal auf http://www.eventid.net/
dort kannst du mal rausfinden was das für ein fehler ist und dann kann man an die lösung gehn ;)
schau mal auf http://www.eventid.net/
dort kannst du mal rausfinden was das für ein fehler ist und dann kann man an die lösung gehn ;)
G' Abend,
das kann ich dir aus dem "ff" sagen.
540 - Erfolgreicher Login eines Benutzers
538 - Erfolgreicher Logoff eines Benutzers
576 - Rechte wurden auf den Login übernommen.
Das dürften keine Fehlerzeichen davorstehen haben. Sondern nur ein Schlüssel. Wenn du den Text übersetzt, würdest du feststellen, dass keine Rede von einem Fehler ist.
Grüße
Dani
das kann ich dir aus dem "ff" sagen.
540 - Erfolgreicher Login eines Benutzers
538 - Erfolgreicher Logoff eines Benutzers
576 - Rechte wurden auf den Login übernommen.
Das dürften keine Fehlerzeichen davorstehen haben. Sondern nur ein Schlüssel. Wenn du den Text übersetzt, würdest du feststellen, dass keine Rede von einem Fehler ist.
Grüße
Dani
Hi Und erstmal danke für die Antworten.
EventID - hatte ich auch schon nachgesehen aber die aussagen dazu deuten nicht auf einen "Fehler" hin sofern man davon überhaupt sprechen kann.
@ Dani
Danke so passend hätte man es kaum wiedergeben können, aber spricht man von einem normalen verhalten wenn der Server nach einer Frischen installation 20 Einträge in das Eventlog Sicherheit macht?? Das ist zwar kein fehler wie du schon sagst aber kann man von einem normalen verhalten Sprechen wenn permanent diese drei meldungen kommen. Am Tag kommen so ca. 28000 einträge in das Ereignisslog zusammen und das im LEERLAUF kein Client verbunden (nur die Netzkarte am switch) keine Einrichtungen am Server gemacht, auch wirklich jungfräulich!!!! Was meinst Du ?!
LG
Volker
NetAble
EventID - hatte ich auch schon nachgesehen aber die aussagen dazu deuten nicht auf einen "Fehler" hin sofern man davon überhaupt sprechen kann.
@ Dani
Danke so passend hätte man es kaum wiedergeben können, aber spricht man von einem normalen verhalten wenn der Server nach einer Frischen installation 20 Einträge in das Eventlog Sicherheit macht?? Das ist zwar kein fehler wie du schon sagst aber kann man von einem normalen verhalten Sprechen wenn permanent diese drei meldungen kommen. Am Tag kommen so ca. 28000 einträge in das Ereignisslog zusammen und das im LEERLAUF kein Client verbunden (nur die Netzkarte am switch) keine Einrichtungen am Server gemacht, auch wirklich jungfräulich!!!! Was meinst Du ?!
LG
Volker
NetAble
Naja...seltsam! Hast du eine Richtlinie erstellt, die alles genauer loggt?!
Ansonsten einfach mal alle "Löschen" und dann neustarten. Zusätzlich könntest du hier ein paar Posten (5 Stück) oder so.
Entferne Rechnername und ersetze den Benutzername durch xxx. Falls ein $ am Ende steht, dran lassen!
Grüße
Dani
Ansonsten einfach mal alle "Löschen" und dann neustarten. Zusätzlich könntest du hier ein paar Posten (5 Stück) oder so.
Entferne Rechnername und ersetze den Benutzername durch xxx. Falls ein $ am Ende steht, dran lassen!
Grüße
Dani
Hi
anbei der auszug aus dem Ereignis Protokoll Sicherheit
Es ist halt schn merkwürdig weil der Server wirklich absolut frisch ist ausser dem Setup und dem SBS R2 Standad Setup ist NICHT eingestellt oder verändert worden !!!!
LG
Volker
NetAble
anbei der auszug aus dem Ereignis Protokoll Sicherheit
20.02.2007 21:52:07 Security Erfolgsüberw. An-/Abmeldung 576 NT-AUTORITÄT\SYSTEM SERVER "Besondere Rechte bei neuer Anmeldung:
Benutzername: SERVER$
Domäne: XXDOMÄNEXX
Anmeldekennung: (0x0,0x1DC3EE0)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege"
20.02.2007 21:52:02 Security Erfolgsüberw. An-/Abmeldung 538 NT-AUTORITÄT\SYSTEM SERVER "Benutzerabmeldung:
Benutzername: SERVER$
Domäne: XXDOMÄNEXX
Anmeldekennung: (0x0,0x1CCEC28)
Anmeldetyp: 3
"
20.02.2007 21:51:50 Security Erfolgsüberw. An-/Abmeldung 540 XXDOMÄNEXX\administrator SERVER "Erfolgreiche Netzwerkanmeldung:
Benutzername: Administrator
Domäne: XXDOMÄNEXX
Anmeldekennung: (0x0,0x1DC2E38)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {ea5049f7-2d2f-b4ab-aa76-128aa9691d34}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
"
20.02.2007 21:51:50 Security Erfolgsüberw. An-/Abmeldung 576 XXDOMÄNEXX\administrator SERVER "Besondere Rechte bei neuer Anmeldung:
Benutzername: Administrator
Domäne: XXDOMÄNEXX
Anmeldekennung: (0x0,0x1DC2E38)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege"
20.02.2007 21:51:27 Security Erfolgsüberw. An-/Abmeldung 576 NT-AUTORITÄT\SYSTEM SERVER "Besondere Rechte bei neuer Anmeldung:
Benutzername: SERVER$
Domäne: XXDOMÄNEXX
Anmeldekennung: (0x0,0x1DBD041)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege"
20.02.2007 21:51:18 Security Erfolgsüberw. An-/Abmeldung 538 NT-AUTORITÄT\SYSTEM SERVER "Benutzerabmeldung:
Benutzername: SERVER$
Domäne: XXDOMÄNEXX
Anmeldekennung: (0x0,0x1DA83A8)
Anmeldetyp: 3
"
20.02.2007 21:51:18 Security Erfolgsüberw. An-/Abmeldung 538 NT-AUTORITÄT\SYSTEM SERVER "Benutzerabmeldung:
Benutzername: SERVER$
Domäne: XXDOMÄNEXX
Anmeldekennung: (0x0,0x1DA40CE)
Anmeldetyp: 3
"
20.02.2007 21:51:08 Security Erfolgsüberw. An-/Abmeldung 538 NT-AUTORITÄT\SYSTEM SERVER "Benutzerabmeldung:
Benutzername: SERVER$
Domäne: XXDOMÄNEXX
Anmeldekennung: (0x0,0x1DA8BB7)
Anmeldetyp: 3
"
20.02.2007 21:51:08 Security Erfolgsüberw. An-/Abmeldung 540 NT-AUTORITÄT\SYSTEM SERVER "Erfolgreiche Netzwerkanmeldung:
Benutzername: SERVER$
Domäne: XXDOMÄNEXX
Anmeldekennung: (0x0,0x1DA8BB7)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {1b2d8ef4-bed2-fac0-96e4-30a6abea5ce0}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.100.2
Quellport: 12366
"
20.02.2007 21:51:08 Security Erfolgsüberw. An-/Abmeldung 576 NT-AUTORITÄT\SYSTEM SERVER "Besondere Rechte bei neuer Anmeldung:
Benutzername: SERVER$
Domäne: XXDOMÄNEXX
Anmeldekennung: (0x0,0x1DA8BB7)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege"
20.02.2007 21:51:08 Security Erfolgsüberw. An-/Abmeldung 538 NT-AUTORITÄT\SYSTEM SERVER "Benutzerabmeldung:
Benutzername: SERVER$
Domäne: XXDOMÄNEXX
Anmeldekennung: (0x0,0x1DA8B45)
Anmeldetyp: 3
"
20.02.2007 21:51:08 Security Erfolgsüberw. An-/Abmeldung 540 NT-AUTORITÄT\SYSTEM SERVER "Erfolgreiche Netzwerkanmeldung:
Benutzername: SERVER$
Domäne: XXDOMÄNEXX
Anmeldekennung: (0x0,0x1DA8B45)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {1b2d8ef4-bed2-fac0-96e4-30a6abea5ce0}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.100.2
Quellport: 12365
" Es ist halt schn merkwürdig weil der Server wirklich absolut frisch ist ausser dem Setup und dem SBS R2 Standad Setup ist NICHT eingestellt oder verändert worden !!!!
LG
Volker
NetAble
So wies aussieht, ist der Servercomputerkonto dran Schuld. Und es ist der Benuzter System. Von dem her könnte das ein /mehrere Dienst/e sein. Also nichts schlimmes...
Wie man sowas abstellen kann, weiß ich lieder auch nicht!!
Grüße
Dani
Wie man sowas abstellen kann, weiß ich lieder auch nicht!!
Grüße
Dani
Hallo habe das gleiche Problem
Manchmal werden user auf clients nur mit einem lokalen Profil verbunden (und nicht dem servergespeicherten). Beim nächsten Anmelden klappts dann wieder…. Evtl hängts mit den vielen An/Abmeldungen zusammen?? Ich würde das Problem daher gern lösen.
Das Problem der vielen An/Abmelde einträge wurde in diesem Forum schon mehrfach angesprochen, aber leider ohne endgültige Lösung und .
Ich würde gern wissen, wie die Leute die die das Problem hatten damit umgehen. Ignorieren?? Über eine Antwort würd ich mich freuen
MIchael
Manchmal werden user auf clients nur mit einem lokalen Profil verbunden (und nicht dem servergespeicherten). Beim nächsten Anmelden klappts dann wieder…. Evtl hängts mit den vielen An/Abmeldungen zusammen?? Ich würde das Problem daher gern lösen.
Das Problem der vielen An/Abmelde einträge wurde in diesem Forum schon mehrfach angesprochen, aber leider ohne endgültige Lösung und .
Ich würde gern wissen, wie die Leute die die das Problem hatten damit umgehen. Ignorieren?? Über eine Antwort würd ich mich freuen
MIchael
Hi,
naja...ein Grund könnte sein, dass die Netzwerkverbindung nicht besteht. Sprich Windows interessiert es nicht, ob eine Verbindung besteht meim anmelden. Daher gibt es in den GPO's einen Eintrag, der sowas verhindert.
"Computerkonfiguration => Administrative Vorlagen => System => Anmeldung => Warten...". Diesen Eintrag aktivieren und schon müsste das Problem behoben sein.
Grüße
Dani
P.S.:Was hat dein Thema mit dem obigen zu tun???
naja...ein Grund könnte sein, dass die Netzwerkverbindung nicht besteht. Sprich Windows interessiert es nicht, ob eine Verbindung besteht meim anmelden. Daher gibt es in den GPO's einen Eintrag, der sowas verhindert.
"Computerkonfiguration => Administrative Vorlagen => System => Anmeldung => Warten...". Diesen Eintrag aktivieren und schon müsste das Problem behoben sein.
Grüße
Dani
P.S.:Was hat dein Thema mit dem obigen zu tun???
Hallo,
bei mir tritt dieses Logging jetzt auch auf, habe am Wochenende das Service-Pack2 für Win2k3 SBS aufgespielt. Nach dem Hochfahren fing es an alle 30 sec. eine Sequenz 576 540 538 aufzuzeichnen, nach 8 min 20 Einträge pro minute, danach variieren die Zeitabstände zwischen 6 und 20 Sekunden für eine Sequenz, dann wieder bis zu 20 mal/sec.
Hab schon (fast) überall nachgeforscht, weiß denn niemand eine Lösung?
Gruß
Bernd
bei mir tritt dieses Logging jetzt auch auf, habe am Wochenende das Service-Pack2 für Win2k3 SBS aufgespielt. Nach dem Hochfahren fing es an alle 30 sec. eine Sequenz 576 540 538 aufzuzeichnen, nach 8 min 20 Einträge pro minute, danach variieren die Zeitabstände zwischen 6 und 20 Sekunden für eine Sequenz, dann wieder bis zu 20 mal/sec.
Hab schon (fast) überall nachgeforscht, weiß denn niemand eine Lösung?
Gruß
Bernd
Hallo,
erstmal möchte ich dich draufhinweißen, dass in den Forenrichtlinien festegehalten ist für jedes Thema einen neuen Beitrag zu erstellen.
@scheinproblem:
Siehe Kommentarvon mir. Das sind keine Fehler. Diese Einträge stehen im Register "Sicherheit, stimmts?
Gruß
Dani
erstmal möchte ich dich draufhinweißen, dass in den Forenrichtlinien festegehalten ist für jedes Thema einen neuen Beitrag zu erstellen.
@scheinproblem:
Siehe Kommentarvon mir. Das sind keine Fehler. Diese Einträge stehen im Register "Sicherheit, stimmts?
Gruß
Dani
HAllo Dani
ich finden es gut, dass er auf den "alten thread" gepostet hat, da so die immer gleichen Probleme zusammengefasst werden und auch Leute wie ich, die immer noch auf eine Lösung des Problems warten per mail auf eine mögliche Lösung aufmerksam gemacht werden. D.h. man muss nicht wieder alle neuen threads durchsuchen....Zumal es ja auch exakt das gleiche Problem ist.
Zum Problem:
Klar die MEldung an sich (und An- und Abmelden) ist kein Fehler! da hast Du ja recht. Aber die Frequenz! des Auftretens an sich weist auf einen Fehler hin......
ciao
ich finden es gut, dass er auf den "alten thread" gepostet hat, da so die immer gleichen Probleme zusammengefasst werden und auch Leute wie ich, die immer noch auf eine Lösung des Problems warten per mail auf eine mögliche Lösung aufmerksam gemacht werden. D.h. man muss nicht wieder alle neuen threads durchsuchen....Zumal es ja auch exakt das gleiche Problem ist.
Zum Problem:
Klar die MEldung an sich (und An- und Abmelden) ist kein Fehler! da hast Du ja recht. Aber die Frequenz! des Auftretens an sich weist auf einen Fehler hin......
ciao
Hallo,
danke für Eure Kommentare.
@Dani:
Mir war schon klar, dass die Einträge keine Fehler beschreiben, aber ich muss GrEEnbYte zustimmen, bis zu 20 Einträge/sec können nicht der Normalzustand sein.
GrEEnbYte hat auch damit recht, dass dem Phänomen wohl dieselbe Ursache zugrunde liegt, daher macht es für mich auch Sinn den Thread wiederzubeleben.
Gruß
Bernd
danke für Eure Kommentare.
@Dani:
Mir war schon klar, dass die Einträge keine Fehler beschreiben, aber ich muss GrEEnbYte zustimmen, bis zu 20 Einträge/sec können nicht der Normalzustand sein.
GrEEnbYte hat auch damit recht, dass dem Phänomen wohl dieselbe Ursache zugrunde liegt, daher macht es für mich auch Sinn den Thread wiederzubeleben.
Gruß
Bernd
Hallo zusammen,
ich habe einen interessanten link gefunden, der eventuell einen Hinweis auf unser Problem gibt:
http://www.certfaq.com/bb/ftopic26525.html, Eintrag von user tbedwards.
Auf meiner Maschine läuft auch ein SQL-Server, bisher konnte ich den Mechanismus zum Verändern des Polling-Intervalls jedoch noch ncht finden.
Gruß
Bernd
ich habe einen interessanten link gefunden, der eventuell einen Hinweis auf unser Problem gibt:
http://www.certfaq.com/bb/ftopic26525.html, Eintrag von user tbedwards.
Auf meiner Maschine läuft auch ein SQL-Server, bisher konnte ich den Mechanismus zum Verändern des Polling-Intervalls jedoch noch ncht finden.
Gruß
Bernd
