Unbekannter Benutzername oder falsches Kennwort

tordi
Goto Top
Hallo, ich habe hier einen Windows Server 2003 SBS laufen und Exchange 2003.

Im Systemlog finde ich jetzt diverse Einträge fehlerhafter Anmeldung.

Der User WILLI$ ist der ExchangeServer.

Irgendwie werde ich hier nicht schlau,

Need help

hier das Protokol:

Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 25.12.2005
Zeit: 14:39:31
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: WILLI
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: WILLI$
Domäne: TESTWERK
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: WILLI
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

Content-Key: 22278

Url: https://administrator.de/contentid/22278

Ausgedruckt am: 02.07.2022 um 03:07 Uhr

Mitglied: 10545
10545 25.12.2005 um 16:44:40 Uhr
Goto Top
Moin,

schnomal www.eventid.net geprüft? Da finde ich ne Menge Ursachen.

Gruß, Rene

<div align="center" style="width:100%; vertical-align:middle; background:silver; height:20px; border-style:solid; border-width:thin; border-color:#000000" dir="ltr" lang="de"><font size="1">Footer: Nutzt die Bewertungsfunktion. Ihr helft damit den Usern! Siehe <a href="https://www.administrator.de/Unsere_Top-User_kommen_in_die_ct_Zeitschrif ..." target="_blank"> hier!</a></font></div>
Mitglied: tordi
tordi 25.12.2005 um 17:22:43 Uhr
Goto Top
Bringt mich auch nicht wirklich weiter, vor allem ist WILLI kein Name einer Workstation sondern der Name des Exhangeservers.

etwas weiter unten im Protkol finde ich vorher noch folgendes Ereignis

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 552
Datum: 25.12.2005
Zeit: 17:19:32
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: WILLI
Beschreibung:
Anmeldeversuch unter Verwendung expliziter Anmeldeinformationen:
Angemeldeter Benutzer:
Benutzername:
Domäne:
Anmeldekennung: (0x0,0xBCC6)
Anmelde-GUID: -
Benutzer, dessen Anmeldeinformationen verwendet wurden:
Zielbenutzerame: WILLI$
Zieldomäne:
Zielanmelde-GUID:-

Zielservername: willi.testwerk.local
Zielserverinfo: willi.testwerk.local
Aufruferprozesskennung: 2640
Quellnetzwerkadresse: -
Quellport: -
Mitglied: pc-pure
pc-pure 26.12.2005 um 01:13:44 Uhr
Goto Top
Hallo,

der User Willi$ kann nicht der ExchangeServer sein.

Der Exchangeserver ist ein Rechner und hat einen Rechner-, keinen Usernamen.

Es sieht so aus, als ob auf dem Rechner namens Willi ein User Willi$ sich anmelden will.

Überprüfe, ob es einen solchen User im AD wirklich gibt.
Wenn ja, überprüfe, ob ein Script oder ein Prozess auf dem Rechner Willi läuft, der ein altes oder falsches Passwort benutzt.
Mitglied: tordi
tordi 26.12.2005 um 11:01:07 Uhr
Goto Top
Es gibt keinen User NAmens WILLI.
Der einizige WILLI ist der ExChangeServer.
Da keine Quell-IP angegeben ist , habe ich gedacht das es ein lokaler Dienst oder ähnliches.
Auch soll ja der Computer WILLI sein... und da gibt es nur den Exchange-Server.
Im Netzwerk ( Intern ) habe ich keinen Rechner gefunden der sich WILLI nennt. Wäre ja auch eine QUell-IP vorhanden oder ?

Zumal ja der User Willi$ vom Computer WILLI kommt.

Gibt es eine Möglichkeit heraus zu finden von welchem Rechner der Anmeldeversuch kommt, wenn keine IP im Protokoll genannt wird. ?
Mitglied: tordi
tordi 26.12.2005 um 11:20:04 Uhr
Goto Top
So ich habe jetzt mal mit einem Lanexplorer das interne Netz durchsucht.
Gefunde worden sind 128 Rechner ( die auch im Server als Computer eingetragen sind).
Dabei taucht nur der eine als WILLI auf , der Exhangeserver.
Noch gefunden ist ein Samba Server.
Den habe ich mir mal genauer angesehen, hat aber auch nichts damit zu tun.
Kann es ein das es sich um ein lokalen Dienst handelt der sich anmelden will ?
Nur wie finde ich das raus.
Mitglied: gemini
gemini 26.12.2005 um 11:49:14 Uhr
Goto Top
Zumal ja der User Willi$ vom Computer WILLI kommt.
Es gibt keinen User Willi. Das Ereignis wird von dem Rechner Willi ausgelöst.

Maschinenkonten verwenden den Rechnernamen mit einem angehängten $ als Anmeldenamen.

Sind der DC und der Exchange zwei unterschiedliche Rechner oder heißt der DC Willi?
Wo wird das Ereignis denn protokolliert und in welchen Abständen?

Gruß
gemini
Mitglied: tordi
tordi 26.12.2005 um 11:56:25 Uhr
Goto Top
Es sind beide ein und der selbe.
Das Ereignis wird in Sicherheit angezeigt. Jetzt im laufe von 6 Wochen 2834 mal.
Wird in regelmäßigen Abständen angezeigt der Eintrag.
Mitglied: vodkapur
vodkapur 11.05.2006 um 17:42:02 Uhr
Goto Top
Habe das gleiche in meinen Serverstatus Email drinnen stehen...

in meinem fall ist es so, dass ich mich mittels smtp von einem pc mit outlook anmelde am server. jedoch aber ist dieser client nicht in der domäne.
Mitglied: Goimi
Goimi 06.07.2006 um 08:21:41 Uhr
Goto Top
Hatts hier noch keine Lösung gegeben? Habe selbes Problem!