9
Unbekannter Benutzername oder falsches Kennwort
Hallo, ich habe hier einen Windows Server 2003 SBS laufen und Exchange 2003.
Im Systemlog finde ich jetzt diverse Einträge fehlerhafter Anmeldung.
Der User WILLI$ ist der ExchangeServer.
Irgendwie werde ich hier nicht schlau,
Need help
hier das Protokol:
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 25.12.2005
Zeit: 14:39:31
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: WILLI
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: WILLI$
Domäne: TESTWERK
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: WILLI
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Im Systemlog finde ich jetzt diverse Einträge fehlerhafter Anmeldung.
Der User WILLI$ ist der ExchangeServer.
Irgendwie werde ich hier nicht schlau,
Need help
hier das Protokol:
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 25.12.2005
Zeit: 14:39:31
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: WILLI
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: WILLI$
Domäne: TESTWERK
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: WILLI
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22278
Url: https://administrator.de/contentid/22278
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
schnomal www.eventid.net geprüft? Da finde ich ne Menge Ursachen.
Gruß, Rene
<div align="center" style="width:100%; vertical-align:middle; background:silver; height:20px; border-style:solid; border-width:thin; border-color:#000000" dir="ltr" lang="de"><font size="1">Footer: Nutzt die Bewertungsfunktion. Ihr helft damit den Usern! Siehe <a href="" target="_blank"> hier!</a></font></div>
schnomal www.eventid.net geprüft? Da finde ich ne Menge Ursachen.
Gruß, Rene
<div align="center" style="width:100%; vertical-align:middle; background:silver; height:20px; border-style:solid; border-width:thin; border-color:#000000" dir="ltr" lang="de"><font size="1">Footer: Nutzt die Bewertungsfunktion. Ihr helft damit den Usern! Siehe <a href="" target="_blank"> hier!</a></font></div>
Bringt mich auch nicht wirklich weiter, vor allem ist WILLI kein Name einer Workstation sondern der Name des Exhangeservers.
etwas weiter unten im Protkol finde ich vorher noch folgendes Ereignis
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 552
Datum: 25.12.2005
Zeit: 17:19:32
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: WILLI
Beschreibung:
Anmeldeversuch unter Verwendung expliziter Anmeldeinformationen:
Angemeldeter Benutzer:
Benutzername:
Domäne:
Anmeldekennung: (0x0,0xBCC6)
Anmelde-GUID: -
Benutzer, dessen Anmeldeinformationen verwendet wurden:
Zielbenutzerame: WILLI$
Zieldomäne:
Zielanmelde-GUID:-
Zielservername: willi.testwerk.local
Zielserverinfo: willi.testwerk.local
Aufruferprozesskennung: 2640
Quellnetzwerkadresse: -
Quellport: -
etwas weiter unten im Protkol finde ich vorher noch folgendes Ereignis
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 552
Datum: 25.12.2005
Zeit: 17:19:32
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: WILLI
Beschreibung:
Anmeldeversuch unter Verwendung expliziter Anmeldeinformationen:
Angemeldeter Benutzer:
Benutzername:
Domäne:
Anmeldekennung: (0x0,0xBCC6)
Anmelde-GUID: -
Benutzer, dessen Anmeldeinformationen verwendet wurden:
Zielbenutzerame: WILLI$
Zieldomäne:
Zielanmelde-GUID:-
Zielservername: willi.testwerk.local
Zielserverinfo: willi.testwerk.local
Aufruferprozesskennung: 2640
Quellnetzwerkadresse: -
Quellport: -
Hallo,
der User Willi$ kann nicht der ExchangeServer sein.
Der Exchangeserver ist ein Rechner und hat einen Rechner-, keinen Usernamen.
Es sieht so aus, als ob auf dem Rechner namens Willi ein User Willi$ sich anmelden will.
Überprüfe, ob es einen solchen User im AD wirklich gibt.
Wenn ja, überprüfe, ob ein Script oder ein Prozess auf dem Rechner Willi läuft, der ein altes oder falsches Passwort benutzt.
der User Willi$ kann nicht der ExchangeServer sein.
Der Exchangeserver ist ein Rechner und hat einen Rechner-, keinen Usernamen.
Es sieht so aus, als ob auf dem Rechner namens Willi ein User Willi$ sich anmelden will.
Überprüfe, ob es einen solchen User im AD wirklich gibt.
Wenn ja, überprüfe, ob ein Script oder ein Prozess auf dem Rechner Willi läuft, der ein altes oder falsches Passwort benutzt.
Es gibt keinen User NAmens WILLI.
Der einizige WILLI ist der ExChangeServer.
Da keine Quell-IP angegeben ist , habe ich gedacht das es ein lokaler Dienst oder ähnliches.
Auch soll ja der Computer WILLI sein... und da gibt es nur den Exchange-Server.
Im Netzwerk ( Intern ) habe ich keinen Rechner gefunden der sich WILLI nennt. Wäre ja auch eine QUell-IP vorhanden oder ?
Zumal ja der User Willi$ vom Computer WILLI kommt.
Gibt es eine Möglichkeit heraus zu finden von welchem Rechner der Anmeldeversuch kommt, wenn keine IP im Protokoll genannt wird. ?
Der einizige WILLI ist der ExChangeServer.
Da keine Quell-IP angegeben ist , habe ich gedacht das es ein lokaler Dienst oder ähnliches.
Auch soll ja der Computer WILLI sein... und da gibt es nur den Exchange-Server.
Im Netzwerk ( Intern ) habe ich keinen Rechner gefunden der sich WILLI nennt. Wäre ja auch eine QUell-IP vorhanden oder ?
Zumal ja der User Willi$ vom Computer WILLI kommt.
Gibt es eine Möglichkeit heraus zu finden von welchem Rechner der Anmeldeversuch kommt, wenn keine IP im Protokoll genannt wird. ?
So ich habe jetzt mal mit einem Lanexplorer das interne Netz durchsucht.
Gefunde worden sind 128 Rechner ( die auch im Server als Computer eingetragen sind).
Dabei taucht nur der eine als WILLI auf , der Exhangeserver.
Noch gefunden ist ein Samba Server.
Den habe ich mir mal genauer angesehen, hat aber auch nichts damit zu tun.
Kann es ein das es sich um ein lokalen Dienst handelt der sich anmelden will ?
Nur wie finde ich das raus.
Gefunde worden sind 128 Rechner ( die auch im Server als Computer eingetragen sind).
Dabei taucht nur der eine als WILLI auf , der Exhangeserver.
Noch gefunden ist ein Samba Server.
Den habe ich mir mal genauer angesehen, hat aber auch nichts damit zu tun.
Kann es ein das es sich um ein lokalen Dienst handelt der sich anmelden will ?
Nur wie finde ich das raus.
Zumal ja der User Willi$ vom Computer WILLI kommt.
Es gibt keinen User Willi. Das Ereignis wird von dem Rechner Willi ausgelöst.Maschinenkonten verwenden den Rechnernamen mit einem angehängten $ als Anmeldenamen.
Sind der DC und der Exchange zwei unterschiedliche Rechner oder heißt der DC Willi?
Wo wird das Ereignis denn protokolliert und in welchen Abständen?
Gruß
gemini
Es sind beide ein und der selbe.
Das Ereignis wird in Sicherheit angezeigt. Jetzt im laufe von 6 Wochen 2834 mal.
Wird in regelmäßigen Abständen angezeigt der Eintrag.
Das Ereignis wird in Sicherheit angezeigt. Jetzt im laufe von 6 Wochen 2834 mal.
Wird in regelmäßigen Abständen angezeigt der Eintrag.
Habe das gleiche in meinen Serverstatus Email drinnen stehen...
in meinem fall ist es so, dass ich mich mittels smtp von einem pc mit outlook anmelde am server. jedoch aber ist dieser client nicht in der domäne.
in meinem fall ist es so, dass ich mich mittels smtp von einem pc mit outlook anmelde am server. jedoch aber ist dieser client nicht in der domäne.
Hatts hier noch keine Lösung gegeben? Habe selbes Problem!
