Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Sekundenweise wird auf XP Server 2003 Event id 538 und 540 aufgeführt

Mitglied: Fehma

538 = An und Abmeldung Event
540 = An und Abmeldung Event

Hallo ,

langsam verzweifele ich. Wir haben hier ein Netzwerk mit XP Server 2003 und bekommen im Security Event Log immer alle paar Sekunden die Event ID's 538 und 540 angezeigt. Leider finde ich nirgends Hilfe, warum diese Events so oft angezeigt werden.

Kann mir da jemand weiterhelfen ???

Danke
M.

Content-Key: 9200

Url: https://administrator.de/contentid/9200

Ausgedruckt am: 19.10.2021 um 03:10 Uhr

Mitglied: garciam
garciam 08.04.2005 um 19:42:26 Uhr
Goto Top
schon auf www.eventid.net nachgeschaut?


Gruss
Mitglied: 10545
10545 09.04.2005 um 08:59:49 Uhr
Goto Top
Hallo Fehma,

diese ID´s zeichnen Logon und Logoffs von Net-Users auf.

Siehe
http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/m ...

Leider finde ich nirgends Hilfe, warum diese Events so oft angezeigt werden.
Kann ich mir gar nicht vorstellen ? ich habe ca. 2 Sekunden benötigt ;-) face-wink

Gruß, Rene
Mitglied: fritzo
fritzo 09.04.2005 um 18:39:45 Uhr
Goto Top
Um's kurz zu machen:

http://www.eventid.net/display.asp?eventid=538&eventno=7&source ...
http://www.eventid.net/display.asp?eventid=540&eventno=9&source ...

Entweder ist das behaviour as expected - das würde bedingen, daß Ihr sehr ausführliches Logging betreibt. Falls ja und es stört, dann stellt in den Policies das Logging so ein, daß nicht mehr jede Anmeldung geloggt wird, sondern evtl. nur noch die fehlerhaften.

Zweite Möglichkeit - es ist ein Fehler, der durch abgelaufene Benutzer- oder Maschinenkonten entsteht, die noch irgendwo angemeldet sind und versuchen, auf Ressourcen zuzugreifen. Versuch, die SID oder den Kontonamen herauszufinden und dann die entsprechende Workstation zuzuordnen - dann schau auf dieser WS nach, was dort an Verbindungen etc. gesetzt ist.

Dritte Möglichkeit - eine schlecht programmierte Anwendung, die ein sog. "Token Leak" verursacht, siehe dazu die Beschreibung zu Event 538 auf http://www.eventid.net

Grüße,
fritzo
Mitglied: Fehma
Fehma 09.04.2005 um 19:47:12 Uhr
Goto Top
Hallo,

vielen Dank für die Antworten.

Nun ja, rausfinden was die Event ID's bedeuten ist und war nicht das Problem.... aber !!!!
mein problem ist , das es kein Expected Behavoir ist. Kann ich mir nicht vorstellen, das alle 2 Sekunden ein Eintrag in den SecurityLog im Server eingetragen wird.

Ich kann mir auch nicht vorstellen, das dies bei einer normalen Anwendung so oft ( alle 2 Sekunden ) gemacht wird. Normalerweise meldet man sich an in das war es.....

Kann es an kaputten Ethernet Verkabelungen liegen, die ausfälle haben ??
Ich befürchte das das ethernet nicht richtig funktioniert... wollte aber sichergehen...

Gruß

M
Mitglied: fritzo
fritzo 10.04.2005 um 04:01:21 Uhr
Goto Top
Nun ja, rausfinden was die Event ID's bedeuten ist und war nicht das Problem.... aber !!!!

Hast Du die Postings gelesen und geprüft, ob dem evtl. so sein könnte? Bitte geh erstmal auf die Postings ein.

mein problem ist , das es kein Expected Behavoir ist. Kann ich mir nicht vorstellen,
das alle 2 Sekunden ein Eintrag in den SecurityLog im Server eingetragen wird.

jenachdem, wieviele Benutzer dran hängen, ist das schon möglich. Es kann aber auch ein fehlerhaft konfigurierter Dienstaccount sein.

Kann es an kaputten Ethernet Verkabelungen liegen, die ausfälle haben ??
Ich befürchte das das ethernet nicht richtig funktioniert... wollte aber
sichergehen...

Ich kann das zwar nicht rundweg ausschließen, es ist aber eher sehr unwahrscheinlich. 538 und 540 sind keine Fehler- sondern nur Hinweismeldungen - ergo weist das nicht auf Fehler im Netzwerk hin, sondern eher auf Fehler bzw. ein Zuviel-des-Guten bei der Konfiguration Eurer Überwachung. Prüf einfach mal die Einstellungen in Euren Policies unter Computerkonfiguration / Sicherheitseinstellungen / Überwachungsrichtlinien - poste evtl. mal, was dort an Flags gesetzt ist, dann kann man besser beurteilen, ob es als normal anzusehen ist oder nicht.
Mitglied: Fehma
Fehma 26.04.2005 um 09:39:22 Uhr
Goto Top
Hallo,

erst einmal vielen Dank für die schnellen Antworten.

Es war in der Tat eine Kaputte Dose.... Die hat dieses ganzes Durcheinander erzeugt.
Ich danke euch....

Marcus
Mitglied: fritzo
fritzo 26.04.2005 um 20:20:58 Uhr
Goto Top
that much about fishing in murky waters ;-) face-wink
Mitglied: fritzo
fritzo 26.04.2005 um 20:22:29 Uhr
Goto Top
--- FILE CLOSED ---

;-) face-wink

Grüße,
fritzo
Mitglied: GrEEnbYte
GrEEnbYte 21.03.2007 um 10:16:28 Uhr
Goto Top
Hallo habe das gleiche Problem
Manchmal werden user auf clients nur mit einem lokalen Profil verbunden (und nicht dem servergespeicherten). Beim nächsten Anmelden klappts dann wieder…. Evtl hängts mit den vielen An/Abmeldungen zusammen?? Ich würde das Problem daher gern lösen.
Das Problem der vielen An/Abmelde einträge wurde in diesem Forum schon mehrfach angesprochen, aber leider ohne endgültige Lösung und .
Ich würde gern wissen, wie die Leute die die das Problem hatten damit umgehen. Ignorieren?? Über eine Antwort würd ich mich freuen
MIchael
Heiß diskutierte Beiträge
question
Server mit zwei Interfaces und Standardgateways am selben Switch gelöst incisor2kVor 1 TagFrageNetzwerkgrundlagen13 Kommentare

Guten Morgen. Ich brauche bitte ein bisschen Hirnschmalz von euch, um ggf. Auswirkungen nachfolgendes Szenarios zu verstehen. Gestern ist mir etwas seltsames untergekommen. Kurz umrissen: ...

question
Windows 11 Upgrade nicht möglichben1300Vor 19 StundenFrageWindows 1114 Kommentare

Guten Morgen ! ich habe einen Gaming PC, mit folgende Spezifikationen: Leider kann ich diesen nicht auf Windows 11 upgraden: Welche Optionen bleiben mir, um ...

question
SFP+ auf RJ45 AdapterHasahirnVor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hallo, bin neu hier und hoffe das richtige Unterforum mit meiner Frage erwischt zu haben. Falls das nicht der Fall sein sollte bitte entsprechend verschieben, ...

question
Anfänger benötigt Hilfe bei PDFsBarabanVor 1 TagFrageMicrosoft8 Kommentare

Hallo zusammen, ich bin ein leidgeplagter Endnutzer der bei dem leidigen Thema PDFs zusammenführen Hilfe benötigt. Ich habe mir hier schon ein paar Beiträge durchgelesen ...

question
Was ich benötige ist ein guter Wechselrahmen 5,25"Lefty0815Vor 1 TagFrageFestplatten, SSD, Raid8 Kommentare

Hallo an alle, ich such mir noch einen Wolf :-) Was ich benötige ist ein Wechselrahmen 5,25" für eine zwei oder drei 3,5Zoll Festplatten (SATA ...

question
Spam in den PNs gelöst erikroVor 18 StundenFrageAdministrator.de Feedback8 Kommentare

Moin, das habe ich heute in meinen PNs gefunden: Hallo, Schatz . Ich hoffe, es geht dir gut, mein Name ist Naomi Haider, ich habe ...

question
VPN per LTE? Hardware? Alternativen? gelöst HerrKohlVor 1 TagFrageRouter & Routing8 Kommentare

Hallo, ich stehe vor einem Problem, welches ich als Laie mit wenig Ahnung lösen möchte/muss. Kurz umrissen: ich betreibe in meinem Büro mehrere Endgeräte, die ...

question
Microsoft Security Baseline sinnvoll?dertowaVor 1 TagFrageWindows 113 Kommentare

Hallo allerseits, ich habe nun im HomeLab ein wenig mit den Security Baselines von Microsoft experimentiert und komme zu keinem wirklichen Ergebnis. Es gibt einige ...