Server 2012R2: NTLMv1 Events trotz Deaktivierung
Hallo Mit-Administratoren,
ich habe hier ein Problem welches ich einfach nicht gelöst bekomme.
Situation:
- Domäne, drei Standorte, drei DCs, Server 2012R2, höchstes Functional Level...
- NTLMv1 in der Domäne deaktiviert per GPO (auf DCs per DomainController-GPOs, in der Domäne über sep. GPO)
- für Debugging NTLM-Logging auf DCs per GPO angeschaltet
Nun erhalte ich bei jedem DC-Boot (egal welcher DomainController) den Event 6038 (System, Quelle LSA) der besagt, dass in meiner Domäne NTLM verwendet wird (was nicht stimmt).
Im Security-Log gibt es genau ein Event 4624, dass auf NTLMv1 hinweist:
Nach vielen Probieren habe ich herausgefunden, dass dieser Event immer dann einmalig erzeugt wird, wenn der Service "Server" gestartet wird. Das ist reproduzierbar.
Hat jemand eine Ahnung warum und wie ich das lösen kann? Ich will diesen Event 6038 loswerden.
PS: das NTLM-Logging bringt garnix, ich habe niemals ein Event mit einer der dazugehörigen IDs > 8000 gesehen.
PPS: ich habe mir schon einen Wolf gesucht und viele Tage mit der Lösung verschwendet.
ich habe hier ein Problem welches ich einfach nicht gelöst bekomme.
Situation:
- Domäne, drei Standorte, drei DCs, Server 2012R2, höchstes Functional Level...
- NTLMv1 in der Domäne deaktiviert per GPO (auf DCs per DomainController-GPOs, in der Domäne über sep. GPO)
- für Debugging NTLM-Logging auf DCs per GPO angeschaltet
Nun erhalte ich bei jedem DC-Boot (egal welcher DomainController) den Event 6038 (System, Quelle LSA) der besagt, dass in meiner Domäne NTLM verwendet wird (was nicht stimmt).
Im Security-Log gibt es genau ein Event 4624, dass auf NTLMv1 hinweist:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: ANONYMOUS-ANMELDUNG
Kontoname: ANONYMOUS-ANMELDUNG
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0xAE9A5
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V1
Schlüssellänge: 0
Nach vielen Probieren habe ich herausgefunden, dass dieser Event immer dann einmalig erzeugt wird, wenn der Service "Server" gestartet wird. Das ist reproduzierbar.
Hat jemand eine Ahnung warum und wie ich das lösen kann? Ich will diesen Event 6038 loswerden.
PS: das NTLM-Logging bringt garnix, ich habe niemals ein Event mit einer der dazugehörigen IDs > 8000 gesehen.
PPS: ich habe mir schon einen Wolf gesucht und viele Tage mit der Lösung verschwendet.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 299367
Url: https://administrator.de/forum/server-2012r2-ntlmv1-events-trotz-deaktivierung-299367.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @Erna1266:
Nun erhalte ich bei jedem DC-Boot (egal welcher DomainController) den Event 6038 (System, Quelle LSA) der besagt, dass in meiner Domäne NTLM verwendet wird
Sagt er das tatsächlich so oder Interpretierst du es so?Nun erhalte ich bei jedem DC-Boot (egal welcher DomainController) den Event 6038 (System, Quelle LSA) der besagt, dass in meiner Domäne NTLM verwendet wird
und viele Tage mit der Lösung verschwendet.
Dann Rufe den Hersteller deiner Software an, vereibaren einen Obulos und lass ihm den Fehler behen...Gruß,
Peter
Hallo,
ich bin grade dabei bei uns in der Domäne NTLM zu deaktivieren.
Hast du bezüglich des Loggings die beiden folgenden Optionen aktiviert?
https://technet.microsoft.com/de-de/library/jj852175.aspx
https://technet.microsoft.com/de-de/library/jj852254.aspx
Und hast du im richtigen Log unter "Anwendungs- und Dienstprotokolle\Microsoft\Windows\NTLM\Operational (Betriebsbereit)" geschaut?
Bei uns werden dort nach Aktivierung der beiden GPO Einträge massig Einträge erstellt.
Viele Grüße
Stefan
ich bin grade dabei bei uns in der Domäne NTLM zu deaktivieren.
Hast du bezüglich des Loggings die beiden folgenden Optionen aktiviert?
https://technet.microsoft.com/de-de/library/jj852175.aspx
https://technet.microsoft.com/de-de/library/jj852254.aspx
Und hast du im richtigen Log unter "Anwendungs- und Dienstprotokolle\Microsoft\Windows\NTLM\Operational (Betriebsbereit)" geschaut?
Bei uns werden dort nach Aktivierung der beiden GPO Einträge massig Einträge erstellt.
Viele Grüße
Stefan
Hallo,
ich überwachen gerade die Events bezüglich NTLMv1 und sehe gerade, dass es einige Ereignisse mit NTLMv1 gibt
TargetUserName : ANONYMOUS-ANMELDUNG
TargetDomainName : NT-AUTORITÄT
TargetLogonId : 0x17aef1b0
LogonType : 3
LogonProcessName : NtLmSsp
AuthenticationPackageName : NTLM
WorkstationName : XXXXXX
LogonGuid : {00000000-0000-0000-0000-000000000000}
TransmittedServices : -
LmPackageName : NTLM V1
es handelt sich dabei immer nur um Server, unter anderem auch einen bei dem folgende Einstellung vorgenommen wurde
Hat jemand von euch eine Ahnung, woran dies liegen kann und wie man diese Anmeldungen los wird?
Grüße
Andreas
ich überwachen gerade die Events bezüglich NTLMv1 und sehe gerade, dass es einige Ereignisse mit NTLMv1 gibt
TargetUserName : ANONYMOUS-ANMELDUNG
TargetDomainName : NT-AUTORITÄT
TargetLogonId : 0x17aef1b0
LogonType : 3
LogonProcessName : NtLmSsp
AuthenticationPackageName : NTLM
WorkstationName : XXXXXX
LogonGuid : {00000000-0000-0000-0000-000000000000}
TransmittedServices : -
LmPackageName : NTLM V1
es handelt sich dabei immer nur um Server, unter anderem auch einen bei dem folgende Einstellung vorgenommen wurde
Hat jemand von euch eine Ahnung, woran dies liegen kann und wie man diese Anmeldungen los wird?
Grüße
Andreas
Hallo,
Gruss,
Peter
Zitat von @andreas65m:
ich überwachen gerade die Events bezüglich NTLMv1 und sehe gerade, dass es einige Ereignisse mit NTLMv1 gibt
Als Admin der schon über 2 Jahre hier ist, sollte dir mitlerweilen klar sein das deine Frage in einen über 8 Jahren alten Rgewad kaum chance hat beantwortet zu werden. Und ohne deine HW, Softwatr, OSe usw. (Rahmenbedingungen) zu nennen wird es auch für Nicht-Admins sehr schwer bis unmöglich dir zu helefn. Und im Ereignisprotokoll gibt es auch Event Nummern (Event-ID). Auch das was vor dem Fehler gemacht wurde hilft uns dir zu helfen.. Und bei schon 43 eigene Threads weisst du ja wie man Fragen stelltich überwachen gerade die Events bezüglich NTLMv1 und sehe gerade, dass es einige Ereignisse mit NTLMv1 gibt
Gruss,
Peter