Überwachung gescheitert. Microsoft Windows Security Auditing. Dauerhafte gescheiterte Anmeldungen mit einem Benutzer
Hallo liebe Gemeinde,
ich sitze vor einem Problem.
Es wird dauerhaft in Minutentakt, sogar schon fast im Sekundentakt mit einem Bestimmten Benutzer angemeldet, nennen wir ihn einfach Gustav.
Dieser Benutzer ist dafür gedacht, dass Smartphones über diesen Benutzer die Adressbücher synchronisieren können.
Es ist ein Windows Server 2012 R2 Standard, dies ist ein interner Exchange Server. Ich gehe davon aus, dass versucht wird sich auf den Exchange anzumelden, leider habe ich keine Ahnung wer von wo aus es versucht.
Passwort vom Benutzer wurde nicht geändert.
Hat jemand eine Idee wie ich die Logs dazu auslesen kann bzw. ein "ausführlicheres" Log herbekomme??
Leider steht in der Ereignisanzeige nicht drin von wo aus angemeldet wird (von welchem Gerät etc.).
Das einzige was ich sehe ist nur folgendes:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: Gustav
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Bei der Anmeldung ist ein Fehler aufgetreten.
Status: 0xC000006D
Unterstatus:: 0x0
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: ..... (Aus Datenschutzgründen Name rausgenommen)
Quellnetzwerkadresse: ...... (Aus Datenschutzgründen IP rausgenommen)
Quellport: 64279
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess:
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
ich sitze vor einem Problem.
Es wird dauerhaft in Minutentakt, sogar schon fast im Sekundentakt mit einem Bestimmten Benutzer angemeldet, nennen wir ihn einfach Gustav.
Dieser Benutzer ist dafür gedacht, dass Smartphones über diesen Benutzer die Adressbücher synchronisieren können.
Es ist ein Windows Server 2012 R2 Standard, dies ist ein interner Exchange Server. Ich gehe davon aus, dass versucht wird sich auf den Exchange anzumelden, leider habe ich keine Ahnung wer von wo aus es versucht.
Passwort vom Benutzer wurde nicht geändert.
Hat jemand eine Idee wie ich die Logs dazu auslesen kann bzw. ein "ausführlicheres" Log herbekomme??
Leider steht in der Ereignisanzeige nicht drin von wo aus angemeldet wird (von welchem Gerät etc.).
Das einzige was ich sehe ist nur folgendes:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: Gustav
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Bei der Anmeldung ist ein Fehler aufgetreten.
Status: 0xC000006D
Unterstatus:: 0x0
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: ..... (Aus Datenschutzgründen Name rausgenommen)
Quellnetzwerkadresse: ...... (Aus Datenschutzgründen IP rausgenommen)
Quellport: 64279
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess:
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 527310
Url: https://administrator.de/forum/ueberwachung-gescheitert-microsoft-windows-security-auditing-dauerhafte-gescheiterte-anmeldungen-mit-einem-527310.html
Ausgedruckt am: 26.04.2025 um 05:04 Uhr
4 Kommentare
Neuester Kommentar
Täglich grüßt das Murmeltier, kommt hier mindestens einmal die Woche:
https://www.microsoft.com/en-us/download/details.aspx?id=18465
Fehlerhafte Anmeldeversuche protokollieren
https://www.microsoft.com/en-us/download/details.aspx?id=18465
Fehlerhafte Anmeldeversuche protokollieren
Die Quellnetzwerkadresse hast du doch und auch den Arbeitsstationsnamen.
Nein leider nicht, ich habe leider keine Quelle, ich sehe nur dass es auf diesen Server passiert ist. Aber wer von wo und was gemacht wurde steht in der Ereignisanzeige nicht, deswegen meine Frage: Gibt es ein Log, wo man "mehr" sehen kann...?
Zitat von @AlboZ072:
Nein leider nicht, ich habe leider keine Quelle, ich sehe nur dass es auf diesen Server passiert ist. Aber wer von wo und was gemacht wurde steht in der Ereignisanzeige nicht, deswegen meine Frage: Gibt es ein Log, wo man "mehr" sehen kann...?
S.o.Nein leider nicht, ich habe leider keine Quelle, ich sehe nur dass es auf diesen Server passiert ist. Aber wer von wo und was gemacht wurde steht in der Ereignisanzeige nicht, deswegen meine Frage: Gibt es ein Log, wo man "mehr" sehen kann...?
