spuker
Goto Top

Ungewöhnlich viele Erfolgsüberwachungen in der Ereignisanzeige

Hallo zusammen.

Ich habe ein Problem mit der Ereignisanzeige.

Bei dem System handelt es sich um ein SBS 2003 mit 3 Workstations.

In der Ereignisanzeige bekomme ich ständige An-/Abmeldeereignisse - beinahe im Sekundentakt - angezeigt.

Hierbei handelt es sich um die Ereigniskennungen 576, 549, 538.

Wie ich hier und auch an anderen Stellen im Internet gesehen habe, kommt dieses Problem häufiger mal vor, allerdings konnte ich bisher noch nicht die genaue Ursache ausfindig machen. Und da es scheinbar zig Möglichkeiten an denen das liegen kann, wäre ich froh wenn mir jemand bei der Suche behilflich wäre.

Vielleicht helfen ja die genauen Inhalte der Fehlermeldungen ein wenig weiter:

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 576
Datum: 28.02.2006
Zeit: 11:28:57
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: S1
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
Benutzername: S1$
Domäne: domaenenname
Anmeldekennung: (0x0,0x138CC00)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege


Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 28.02.2006
Zeit: 11:28:57
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: S1
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: S1$
Domäne: domaenenname
Anmeldekennung: (0x0,0x138CC00)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {f400c17c-5277-eb47-603c-807352749a5b}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.1.10
Quellport: 0


Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 28.02.2006
Zeit: 11:28:47
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: S1
Beschreibung:
Benutzerabmeldung:
Benutzername: S1$
Domäne: domaenenname
Anmeldekennung: (0x0,0x138BB54)
Anmeldetyp: 3

Vielleicht hat ja jemand einen Vorschlag, an welcher Stelle ich mit meiner Suche beginnen kann. Die Einträge bei eventid.net konnten mir bis jetzt leider nicht weiterhelfen.

Vielen Dank im voraus,

Andreas

Content-ID: 27043

Url: https://administrator.de/forum/ungewoehnlich-viele-erfolgsueberwachungen-in-der-ereignisanzeige-27043.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

geTuemII
geTuemII 28.02.2006 um 23:23:53 Uhr
Goto Top
Hallo,

neuerdings irgendwas in Sicherheitsrichtlinie --> Überwachung konfiguriert, sprich: eingeschaltet?

geTuemII
Spuker
Spuker 01.03.2006 um 07:11:43 Uhr
Goto Top
Nein, es handelt sich um eine Standardinstallation, bei der ansonsten nur eine GData BusinessSuite, der Intel Storage Manager und ein APC Steuerungsprogramm installiert wurde. Konfiguriert ist das ganze zu 90% durch entsprechende Assistenten.
geTuemII
geTuemII 01.03.2006 um 12:37:36 Uhr
Goto Top
Serververwaltungskonsole --> Erweiterte Verwaltung --> Gruppenrichtlinienverwaltung --> Gesamtstruktur --> Gruppenrichtlinienergebnisse --> rechte Mouse --> Gruppenrichtlinienergebnis-Assistent --> Weiter --> Weiter --> keine Benutzerrichtlinieneinstellungen --> Weiter --> Weiter --> Fertig stellen

Im Register Einstellungen --> Windowseinstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien/Überwachungsrichtlinie --> Hier siehst Du, was protokolliert wird und welche der Richtlöinien dafür ausschlaggebend ist, normalerweise ist es die SBS-Überwachungsrichtlinie und die Default Domain Policy.

HTH geTuemII
34952
34952 16.10.2006 um 22:42:13 Uhr
Goto Top
Ich muss den Tread hier nochmal rauskramen da ich hier keine Antwort auf das Problem gefunden habe.

Denn ich habe auch das Problem mit einem frischen win2k3 SBS R2 Standard.

Der Kommentar von geTuemII hat mich leider auch nicht weiter gebracht nur das ich jetzt die Richtlinien sehen kann.

Wurde das Problem irgendwie gelöst?
geTuemII
geTuemII 16.10.2006 um 23:15:09 Uhr
Goto Top
Hallo Robert,

wenn du das Richtlinienergebnis hast, klickst du es auf der linken Fensterseite an. Dann findest du im rechten Fenster drei Register, das mittlere heißt Einstellungen. Jetz weiter wie oben:

Im Register Einstellungen --> Windowseinstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien/Überwachungsrichtlinie --> Hier siehst Du, was protokolliert wird und welche der Richtlöinien dafür ausschlaggebend ist, normalerweise ist es die SBS-Überwachungsrichtlinie und die Default Domain Policy. Die maßgebliche Richtlinie merkst du dir.

Mit dieser Info gehst du nach Serververwaltungskonsole --> Erweiterte Verwaltung --> Gruppenrichtlinienverwaltung --> Gesamtstruktur --> Domänen --> Domain-Name --> Gruppenrichtlinienobjekte --> Small Business Server-Überwachungsrichtlinie (vermutlich ist die es) --> Rechte Maus --> Bearbeiten --> Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Überwachungsrichtlinie --> Anmeldeereignisse überwachen und konfigurierst wie gewünscht

geTuemII
34952
34952 17.10.2006 um 10:13:08 Uhr
Goto Top
Besten Dank für deine promte Hilfe!

Ich würde schon gerne fehlerhafte und erfolgreiche Anmeldungen von Nutzern an den Server überwachen wollen. Die häufigen (fast im sekundentakt erscheinenden) Events werden ja von einer Systemresscource ausgeführt. Wäre toll herauszufinden welche Ressource es ist und das logging für diese dann herunterzufahren.

Ich denke nach deiner Anleitung deaktiviere ich auch die Anzeige für Nutzeran- und Abmeldungen. Ich probiers aber mal aus.

Ich werde versuchen herauszufinden um welche Systemressource es sich handelt. Melde mich dann nochmal an dieser Stelle.

Es wäre toll wenn der Treaderöffner nochmal reinschauen würde. Dann könnte er berichten ob sich die Situation verbessert hat.
Apropos ich habe auch APC Powerchute am laufen. Eventuell ist das der Auslöser ... ich teste das mal.
Spuker
Spuker 17.10.2006 um 10:53:03 Uhr
Goto Top
Mit Threadersteller bin dann wohl ich gemeint. Leider kann ich dir jedoch nicht viel Neues berichten. Bisher konnte ich aber folgende Fehlerquellen ausschließen:

-Netzwerkverkabelung
-Netzwerkdosen
-zusätzliche Software (wie APC)

Der Fehler trat bei einer erneuten Installation erst mit der Fertigstellung des Setups auf. Soll heißen, nach der Grundinstallation gab es noch keine Probleme.

Der Server wurde ansonsten mit den Standardeinstellungen installiert. Daher gehe ich momentan von einem Hardware- oder Treiberproblem aus. Wenn ich ab Freitag wieder im Lande bin, können wir ja mal die Komponenten des Servers vergleichen, vielleicht gibt es in dem Bereich ja irgendwelche Überschneidungen.

@geTuemII: Danke noch für deine Bemühungen, dass hatte ich wohl damals unverschämterweise versäumt.
geTuemII
geTuemII 17.10.2006 um 11:50:27 Uhr
Goto Top
Hallo Robert,

sieh dir mal die freigegebenen Ordner auf dem Server an (also Ordner auf dem Server, für die Freigaben eingetragen sind): Eigenschaften --> Sicherheit --> Erweitert --> Überwachung

Dort wirst du evtl. fündig, falls es doch deine Freigaben sind.

HTH geTuemII
34952
34952 17.10.2006 um 12:40:10 Uhr
Goto Top
Freigaben kann ich definitiv auschließen. Hab sämtliche Freigaben auf Überwachung geprüft und keine Einträge gefunden.

Zum Hardwarevergleich meine Serverdaten:

DELL Power Edge 830
Prozessor Hersteller Intel(R) Pentium(R) D CPU 3.00GHz Taktfrequenz 3GHz Größe des L2-Cache 1024 Hersteller Intel(R) Pentium(R) D CPU 3.00GHz Taktfrequenz 3GHz Größe des L2-Cache 1024 Prozessor Taktfrequenz 3GHz Taktfrequenz 3GHz Arbeitsspeicher Verfügbarer Arbeitsspeicher 15.45 % Größe der Auslagerungsdatei 1446.3Mb Verfügbare Auslagerungsdatei 89.83 % Virtueller Speicher 2469.6Mb Verfügbarer virtueller Speicher 58.01 % Arbeitsspeicher Speichersteckplatz 1 [DIMM1_A] 512Mb Speichersteckplatz 2 [DIMM1_B] 512Mb Netzwerkkarte Adapter Broadcom NetXtreme Gigabit Ethernetzusätzliche NIC:Intel PRO/100 S Server Adapter (deaktiviert)Storage Festplatte Typ Festplattengröße Gesamter verfügbarer Platz Verwendeter Platz C: NTFS 148.9Gb 142.4Gb 6.468Gb D: NTFS 148.9Gb 141.0Gb 7.887Gb Hardware Typ Beschreibung DVD-/CD-ROM-Laufwerke LITE-ON CD-ROM LTN-4891S Festplatten DELL Array SCSI Disk Device 148.9Gb Level0DELL Array SCSI Disk Device 148.9Gb Level1Grafikkarten XGI Volari Z7 v1.02.04_Dell 16Mb Diskettenlaufwerke (Standarddiskettenlaufwerke) Diskettenlaufwerk IDE ATA-/ATAPI-Controller Intel(R) 82801GB Ultra ATA Storage Controllers - 27DF Primärer IDE-Kanal TastaturenUSB-HID (Human Interface Device) Mäuse und andere Zeigegeräte USB-HID (Human Interface Device) Monitore Plug und Play-Monitor - (Standardmonitortypen) USB-Controller Intel(R) 82801GB USB Universal Host Controller - 27C8 Intel(R) 82801GB USB Universal Host Controller - 27C9 Intel(R) 82801GB USB Universal Host Controller - 27CA Intel(R) 82801GB USB2 Enhanced Host Controller - 27CC
Spuker
Spuker 17.10.2006 um 13:07:57 Uhr
Goto Top
Da kann ich auf Anhieb bis auf die CPU keine Übereinstimmung feststellen. Aber ich habe die Daten nicht zu 100% im Kopf, daher werde ich Freitag auf jeden Fall nochmal nachschauen.
GrEEnbYte
GrEEnbYte 21.03.2007 um 10:20:36 Uhr
Goto Top
Hallo habe das gleiche Problem
Manchmal werden user auf clients nur mit einem lokalen Profil verbunden (und nicht dem servergespeicherten). Beim nächsten Anmelden klappts dann wieder…. Evtl hängts mit den vielen An/Abmeldungen zusammen?? Ich würde das Problem daher gern lösen.
Das Problem der vielen An/Abmelde einträge wurde in diesem Forum schon mehrfach angesprochen, aber leider ohne endgültige Lösung und .
Ich würde gern wissen, wie die Leute die die das Problem hatten damit umgehen. Ignorieren?? Über eine Antwort würd ich mich freuen
MIchael