twinrix
Goto Top

Tausende Event ID 529 im Server-Log von einem lokalen User auf einem Clientcomputer in SBS 2003 Domäne

Hallo,
ich habe schon intensiv im Forum gesucht, aber keinen passenden Artikel gefunden und hoffe nun auf professionelle Hilfe.
Vielen Dank!

Hallo,

ich bin für ein kleines nicht-kommerzielles SBS 2003 Netzwerk mit <10 Usern zuständig.

Der Server selbst läuft auf einer virtuellen Maschine (Virtualbox, aktuellste Version). Hostsystem ist Win 7 pro, 64 bit. Auf dem Hostsystem läuft Virtualbox unter einem lokalen Adminkonto. Der Hostcomputer selbst ist Mitglied der Domäne.

Diese Lösung lief zuvor mit Windows XP pro als Hostbetriebssystem. Der Umstieg auf Win 7 erfolgte, um der virtuellen Maschine auf einem 64bit System mehr Speicher verfügbar machen zu können (was auch wunderbar läuft).

Seit der Umstellung aber läuft das Server-Log mit 529 Events über:

Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: [lokaler Benutzer]
Domäne: [Name des Hostcomputers]
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: [Name des Hostcomputers]
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.0.11 ' Das ist die IP des Host-Computers
Quellport: 0

Quelle ist immer das lokale Admin-Konto des Hostsystems, unter dem Virtualbox läuft. Alle 30 Sekunden kommen 4 Fehlereinträge. Unter XP trat dieses Phänomen nicht auf.

In dem lokalen Konto sind keine Netzlaufwerke eingestellt und ich wüßte auch keine anderen Server-Ressourcen, die das lokale Konto nutzt. Wie kann ich herausfinden, was diese Anmeldeversuche auslöst? Ich möchte ungern auf dem Host ein Domänenkonto laufen lassen, da dies eine Client-Lizenz erfordern würde.

Content-ID: 134787

Url: https://administrator.de/contentid/134787

Ausgedruckt am: 14.11.2024 um 21:11 Uhr

colinardo
colinardo 31.01.2010 um 14:00:21 Uhr
Goto Top
Leg dich mal mit Wireshark am Hostsystem auf die Lauer und schneide den Netzwerkverkehr zwischen der HOST-IP-Adresse und der IP des virtuellen Server's mit...
48507
48507 31.01.2010 um 14:48:19 Uhr
Goto Top
Hier schon durchgelesen? http://www.eventid.net/display.asp?eventid=529&eventno=1&source ...

Stimmt die Zeit auf allen Systemen?
Twinrix
Twinrix 31.01.2010 um 21:21:23 Uhr
Goto Top
Hallo,

danke für die Antwort.

Also mit Wireshark kann ich den Traffic (die SMB Anfragen an den Server) nachvollziehen. Das ist stimmig zu den Einträgen im Ereignisprotokoll. Kann ich damit aber den Grund finden, warum die Anfragen gestellt werden (noch dazu alle 30 Sekunden)?
Twinrix
Twinrix 31.01.2010 um 21:23:42 Uhr
Goto Top
Hallo,

danke für die Antwort. Ja, die Seite habe ich auch schon gefunden und gelesen und alle Möglichkeiten geprüft - leider ohne Erfolg.

Die Zeit wird im Netz synchronisiert. Da der betroffene Client und der Server auf der gleichen physischen Maschine laufen, sollte doch gar kein Zeitunterschied auftreten, oder?
Twinrix
Twinrix 02.02.2010 um 10:12:53 Uhr
Goto Top
Hat keiner noch eine Idee? Kann man die Fehlermeldung für die lokale IP z.B. irgendwie ausschalten?
fontera
fontera 13.10.2011 um 09:10:00 Uhr
Goto Top
Hallo,

ich hab das selbe Problem. Alle 30 sec. kommen 4 Fehlermeldungen solange ein Laptop mit Win7 der nicht in die Domäne integriert wurde eingeschaltet wurde. Kennt jemand das Problem?
colinardo
colinardo 13.10.2011 um 09:42:41 Uhr
Goto Top
Ich denke das Problem liegt daran, das der Windows Explorer in Windows 7 öfter versucht den Status von im Netz befindlichen Systemen zu aktualisieren. Unter Windows XP fand diese Aktualisierung ca. alle 30 Sekunden statt. Dafür gibt es auch eine Registry-Einstellung mit der sich das Verhalten anpassen lässt; siehe dazu hier : http://www.winfaq.de/faq_html/Content/tip2500/onlinefaq.php?h=tip2669.h ....
Ob diese Einstellung auch noch unter Windows 7 funktioniert kann ich nicht sagen, müsste man ausprobieren.
D.h. wenn Windows 7 den Server im Netz findet und versucht sich mit den Benutzerdaten des aktuell angemeldeten Benutzers anzumelden schlägt dies fehl, wenn der Benutzer nicht Mitglied der Domäne ist.

Grüße Uwe