laberdasch
Goto Top

Serverabsturz W2K Ereignis:6008

Login am Server und Clients auch mit DomAdminPW nicht möglich.

Hallo,

ich bin für ein homogenes W2K Netz (1 Server: SP4; Firewall; Symantec) mit etwa 50 Clients zuständig.
Vor zwei Tagen war es allen Nutzern und auch und mir als DomänenAdmin unmöglich, mich irgendwo im Netz anzumelden. Dies galt leider auch am Server. Meldung: Sie konnten leider nicht angemeldet werden....
Ich musste den Server abschalten und neu starten. Seitdem läuft wieder alles normal.

Ich würde aber trotzdem gerne wissen, was das Problem verursacht hat.
In der Ereignisanzeige (Systemprotokoll) steht sinngemäß: Meldung vom 30.3. 8.30 Uhr: Der Server wurde am 29.3. 16.30 unerwartet heruntergefahren. Eventid: 6008.

Von 29.3. 16.30 bis 30.3. 8.30 gibt es auch überhaupt keine weiteren Einträge in der Ereignisanzeige.
Allerdings war der Server, als ich am 30.3. zur Arbeit kam, nicht heruntergefahren sondern zeigte den Anmeldebildschirm.
Die Eventid habe ich bei www.eventid.net schon überprüft, aber das Ergebnis war etwas diffus
(meist Hardwareprobleme).

Hat jemand so etwas ähnliches schon einmal erlebt oder kennt dieses Verhalten?

Danke

Achim

P.S: Sollte ich sicherheitshalber das DomAdminPW ändern? Was muss ich dabei beachten?

Content-ID: 29464

Url: https://administrator.de/forum/serverabsturz-w2k-ereignis-6008-29464.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

meinereiner
meinereiner 01.04.2006 um 12:18:36 Uhr
Goto Top
Die ID 6008 kann durch alles Mögliche kommen. Die kommt z.B. auch wenn jemand den Netzstecker gezogen hat. Wenn der Server dann an anstatt aus war, könnte ich mir schon vorstellen, dass da wer rumgespielt hat.
Steht der Server in einem abgeschlossenen Raum?

Das Passwort vom Admin zu ändern ist nie ein Fehler. Solange der Account nirgendwo bei der Installtion von einem Programm verwendet würde ist das auch kein Problem.
Ich würde eh dazu raten, den Account umzubenennen, ihm ein kyptisches Passwort zu geben und den Account ansich nie zu benutzen. Für sich selbst kann man dann eine Kopie des Accounts erstellen.

Wenn du vermutest, dass sich wer an dem Server unebrechtigt anmeldet würde ich auch eine Überwachung einrichtet. So siehst du ob es wehr versucht.
laberdasch
laberdasch 01.04.2006 um 13:28:48 Uhr
Goto Top
@meinerreiner
Zunächst einmal danke für die schnelle Antwort.

Ja, ich befürchte, dass da jemand versucht hat, ins System einzudringen.
(Könnte es bei dieser Fehlermeldung eigentlich auch ein Virus sein - trotz Norton?)

Der Server steht in einem abgeschlossenen Raum in einem abgeschlossenen Schrank.

Wir benutzen das DomAdminPW nicht bei der Installation von Programmen, da die meisten serverbasiert laufen oder in ein Image eingebunden sind.
Daher müsste ich wohl die .sif Dateien (mehrere Images für versch. Räume) der Images entsprechend anpassen.

Wir haben noch (habe ich leider vergessen zu erwähnen) den ISA am Laufen.
Wenn ich da jedoch eine Überwachungsrichtlinie konfiguriere, müsste ich doch - soweit ich weiß - alle User darüber informieren. Stimmt das?

Danke

Achim
meinereiner
meinereiner 01.04.2006 um 21:58:20 Uhr
Goto Top
(Könnte es bei dieser Fehlermeldung
eigentlich auch ein Virus sein - trotz
Norton?)

ja, im Prinzip schon. Aber ich würde eher nicht drauf tippen.
Die Fehlermeldung besagt eigentlich nur, dass der Rechner neu gebootet ist und Windows nicht weiss warum er runter gefahren wurde.
Aber im MOment würde ich mir an deiner Stelle auch keine Sorgen machen. Ich würde es nur im Auge behalten.


Daher müsste ich wohl die .sif Dateien
(mehrere Images für versch. Räume)
der Images entsprechend anpassen.

Ich kann eigentlich immer wieder nur dazu raten, den Account nie zu benutzen.
Wenn man Aufgabe hat, die Admin Rechte benötigen, sollte man sich ein Konto basteln, welches für die Aufgabe die richtigen Rechte hat. So gesehen würde ich an deiner Stelle das Vorhaben "Passwort ändern" auch nicht unbedingt verwerfen. Obwohl ich so ad hoc keinen zwingenden Grund dafür sehen würde.


Überwachungsrichtlinie konfiguriere,
müsste ich doch - soweit ich weiß
- alle User darüber informieren. Stimmt

Nein, die User betrifft das ja nicht. Es reicht ja wenn du die lokalen Logonversuche an dem Server mitlogst.
laberdasch
laberdasch 01.04.2006 um 22:44:45 Uhr
Goto Top
O.K.
Vielen Dank

Achim