9
Sekundenweise wird auf XP Server 2003 Event id 538 und 540 aufgeführt
538 = An und Abmeldung Event
540 = An und Abmeldung Event
Hallo ,
langsam verzweifele ich. Wir haben hier ein Netzwerk mit XP Server 2003 und bekommen im Security Event Log immer alle paar Sekunden die Event ID's 538 und 540 angezeigt. Leider finde ich nirgends Hilfe, warum diese Events so oft angezeigt werden.
Kann mir da jemand weiterhelfen ???
Danke
M.
540 = An und Abmeldung Event
Hallo ,
langsam verzweifele ich. Wir haben hier ein Netzwerk mit XP Server 2003 und bekommen im Security Event Log immer alle paar Sekunden die Event ID's 538 und 540 angezeigt. Leider finde ich nirgends Hilfe, warum diese Events so oft angezeigt werden.
Kann mir da jemand weiterhelfen ???
Danke
M.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 9200
Url: https://administrator.de/forum/sekundenweise-wird-auf-xp-server-2003-event-id-538-und-540-aufgefuehrt-9200.html
Ausgedruckt am: 08.04.2025 um 09:04 Uhr
9 Kommentare
Neuester Kommentar
schon auf www.eventid.net nachgeschaut?
Gruss
Gruss
Hallo Fehma,
diese ID´s zeichnen Logon und Logoffs von Net-Users auf.
Siehe
http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/m ...
Kann ich mir gar nicht vorstellen ? ich habe ca. 2 Sekunden benötigt 
Gruß, Rene
diese ID´s zeichnen Logon und Logoffs von Net-Users auf.
Siehe
http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/m ...
Leider finde ich nirgends Hilfe, warum diese Events so oft angezeigt werden.
Gruß, Rene
Um's kurz zu machen:
http://www.eventid.net/display.asp?eventid=538&eventno=7&source ...
http://www.eventid.net/display.asp?eventid=540&eventno=9&source ...
Entweder ist das behaviour as expected - das würde bedingen, daß Ihr sehr ausführliches Logging betreibt. Falls ja und es stört, dann stellt in den Policies das Logging so ein, daß nicht mehr jede Anmeldung geloggt wird, sondern evtl. nur noch die fehlerhaften.
Zweite Möglichkeit - es ist ein Fehler, der durch abgelaufene Benutzer- oder Maschinenkonten entsteht, die noch irgendwo angemeldet sind und versuchen, auf Ressourcen zuzugreifen. Versuch, die SID oder den Kontonamen herauszufinden und dann die entsprechende Workstation zuzuordnen - dann schau auf dieser WS nach, was dort an Verbindungen etc. gesetzt ist.
Dritte Möglichkeit - eine schlecht programmierte Anwendung, die ein sog. "Token Leak" verursacht, siehe dazu die Beschreibung zu Event 538 auf http://www.eventid.net
Grüße,
fritzo
http://www.eventid.net/display.asp?eventid=538&eventno=7&source ...
http://www.eventid.net/display.asp?eventid=540&eventno=9&source ...
Entweder ist das behaviour as expected - das würde bedingen, daß Ihr sehr ausführliches Logging betreibt. Falls ja und es stört, dann stellt in den Policies das Logging so ein, daß nicht mehr jede Anmeldung geloggt wird, sondern evtl. nur noch die fehlerhaften.
Zweite Möglichkeit - es ist ein Fehler, der durch abgelaufene Benutzer- oder Maschinenkonten entsteht, die noch irgendwo angemeldet sind und versuchen, auf Ressourcen zuzugreifen. Versuch, die SID oder den Kontonamen herauszufinden und dann die entsprechende Workstation zuzuordnen - dann schau auf dieser WS nach, was dort an Verbindungen etc. gesetzt ist.
Dritte Möglichkeit - eine schlecht programmierte Anwendung, die ein sog. "Token Leak" verursacht, siehe dazu die Beschreibung zu Event 538 auf http://www.eventid.net
Grüße,
fritzo
Hallo,
vielen Dank für die Antworten.
Nun ja, rausfinden was die Event ID's bedeuten ist und war nicht das Problem.... aber !!!!
mein problem ist , das es kein Expected Behavoir ist. Kann ich mir nicht vorstellen, das alle 2 Sekunden ein Eintrag in den SecurityLog im Server eingetragen wird.
Ich kann mir auch nicht vorstellen, das dies bei einer normalen Anwendung so oft ( alle 2 Sekunden ) gemacht wird. Normalerweise meldet man sich an in das war es.....
Kann es an kaputten Ethernet Verkabelungen liegen, die ausfälle haben ??
Ich befürchte das das ethernet nicht richtig funktioniert... wollte aber sichergehen...
Gruß
M
vielen Dank für die Antworten.
Nun ja, rausfinden was die Event ID's bedeuten ist und war nicht das Problem.... aber !!!!
mein problem ist , das es kein Expected Behavoir ist. Kann ich mir nicht vorstellen, das alle 2 Sekunden ein Eintrag in den SecurityLog im Server eingetragen wird.
Ich kann mir auch nicht vorstellen, das dies bei einer normalen Anwendung so oft ( alle 2 Sekunden ) gemacht wird. Normalerweise meldet man sich an in das war es.....
Kann es an kaputten Ethernet Verkabelungen liegen, die ausfälle haben ??
Ich befürchte das das ethernet nicht richtig funktioniert... wollte aber sichergehen...
Gruß
M
Nun ja, rausfinden was die Event ID's bedeuten ist und war nicht das Problem.... aber !!!!
Hast Du die Postings gelesen und geprüft, ob dem evtl. so sein könnte? Bitte geh erstmal auf die Postings ein.
mein problem ist , das es kein Expected Behavoir ist. Kann ich mir nicht vorstellen,
das alle 2 Sekunden ein Eintrag in den SecurityLog im Server eingetragen wird.
das alle 2 Sekunden ein Eintrag in den SecurityLog im Server eingetragen wird.
jenachdem, wieviele Benutzer dran hängen, ist das schon möglich. Es kann aber auch ein fehlerhaft konfigurierter Dienstaccount sein.
Kann es an kaputten Ethernet Verkabelungen liegen, die ausfälle haben ??
Ich befürchte das das ethernet nicht richtig funktioniert... wollte aber
sichergehen...
Ich befürchte das das ethernet nicht richtig funktioniert... wollte aber
sichergehen...
Ich kann das zwar nicht rundweg ausschließen, es ist aber eher sehr unwahrscheinlich. 538 und 540 sind keine Fehler- sondern nur Hinweismeldungen - ergo weist das nicht auf Fehler im Netzwerk hin, sondern eher auf Fehler bzw. ein Zuviel-des-Guten bei der Konfiguration Eurer Überwachung. Prüf einfach mal die Einstellungen in Euren Policies unter Computerkonfiguration / Sicherheitseinstellungen / Überwachungsrichtlinien - poste evtl. mal, was dort an Flags gesetzt ist, dann kann man besser beurteilen, ob es als normal anzusehen ist oder nicht.
Hallo,
erst einmal vielen Dank für die schnellen Antworten.
Es war in der Tat eine Kaputte Dose.... Die hat dieses ganzes Durcheinander erzeugt.
Ich danke euch....
Marcus
erst einmal vielen Dank für die schnellen Antworten.
Es war in der Tat eine Kaputte Dose.... Die hat dieses ganzes Durcheinander erzeugt.
Ich danke euch....
Marcus
that much about fishing in murky waters
--- FILE CLOSED ---
Grüße,
fritzo
Grüße,
fritzo
Hallo habe das gleiche Problem
Manchmal werden user auf clients nur mit einem lokalen Profil verbunden (und nicht dem servergespeicherten). Beim nächsten Anmelden klappts dann wieder…. Evtl hängts mit den vielen An/Abmeldungen zusammen?? Ich würde das Problem daher gern lösen.
Das Problem der vielen An/Abmelde einträge wurde in diesem Forum schon mehrfach angesprochen, aber leider ohne endgültige Lösung und .
Ich würde gern wissen, wie die Leute die die das Problem hatten damit umgehen. Ignorieren?? Über eine Antwort würd ich mich freuen
MIchael
Manchmal werden user auf clients nur mit einem lokalen Profil verbunden (und nicht dem servergespeicherten). Beim nächsten Anmelden klappts dann wieder…. Evtl hängts mit den vielen An/Abmeldungen zusammen?? Ich würde das Problem daher gern lösen.
Das Problem der vielen An/Abmelde einträge wurde in diesem Forum schon mehrfach angesprochen, aber leider ohne endgültige Lösung und .
Ich würde gern wissen, wie die Leute die die das Problem hatten damit umgehen. Ignorieren?? Über eine Antwort würd ich mich freuen
MIchael
