Ungewöhnlich viele Erfolgsüberwachungen in der Ereignisanzeige
Hallo zusammen.
Ich habe ein Problem mit der Ereignisanzeige.
Bei dem System handelt es sich um ein SBS 2003 mit 3 Workstations.
In der Ereignisanzeige bekomme ich ständige An-/Abmeldeereignisse - beinahe im Sekundentakt - angezeigt.
Hierbei handelt es sich um die Ereigniskennungen 576, 549, 538.
Wie ich hier und auch an anderen Stellen im Internet gesehen habe, kommt dieses Problem häufiger mal vor, allerdings konnte ich bisher noch nicht die genaue Ursache ausfindig machen. Und da es scheinbar zig Möglichkeiten an denen das liegen kann, wäre ich froh wenn mir jemand bei der Suche behilflich wäre.
Vielleicht helfen ja die genauen Inhalte der Fehlermeldungen ein wenig weiter:
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 576
Datum: 28.02.2006
Zeit: 11:28:57
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: S1
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
Benutzername: S1$
Domäne: domaenenname
Anmeldekennung: (0x0,0x138CC00)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 28.02.2006
Zeit: 11:28:57
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: S1
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: S1$
Domäne: domaenenname
Anmeldekennung: (0x0,0x138CC00)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {f400c17c-5277-eb47-603c-807352749a5b}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.1.10
Quellport: 0
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 28.02.2006
Zeit: 11:28:47
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: S1
Beschreibung:
Benutzerabmeldung:
Benutzername: S1$
Domäne: domaenenname
Anmeldekennung: (0x0,0x138BB54)
Anmeldetyp: 3
Vielleicht hat ja jemand einen Vorschlag, an welcher Stelle ich mit meiner Suche beginnen kann. Die Einträge bei eventid.net konnten mir bis jetzt leider nicht weiterhelfen.
Vielen Dank im voraus,
Andreas
Ich habe ein Problem mit der Ereignisanzeige.
Bei dem System handelt es sich um ein SBS 2003 mit 3 Workstations.
In der Ereignisanzeige bekomme ich ständige An-/Abmeldeereignisse - beinahe im Sekundentakt - angezeigt.
Hierbei handelt es sich um die Ereigniskennungen 576, 549, 538.
Wie ich hier und auch an anderen Stellen im Internet gesehen habe, kommt dieses Problem häufiger mal vor, allerdings konnte ich bisher noch nicht die genaue Ursache ausfindig machen. Und da es scheinbar zig Möglichkeiten an denen das liegen kann, wäre ich froh wenn mir jemand bei der Suche behilflich wäre.
Vielleicht helfen ja die genauen Inhalte der Fehlermeldungen ein wenig weiter:
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 576
Datum: 28.02.2006
Zeit: 11:28:57
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: S1
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
Benutzername: S1$
Domäne: domaenenname
Anmeldekennung: (0x0,0x138CC00)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 28.02.2006
Zeit: 11:28:57
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: S1
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: S1$
Domäne: domaenenname
Anmeldekennung: (0x0,0x138CC00)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {f400c17c-5277-eb47-603c-807352749a5b}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.1.10
Quellport: 0
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 28.02.2006
Zeit: 11:28:47
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: S1
Beschreibung:
Benutzerabmeldung:
Benutzername: S1$
Domäne: domaenenname
Anmeldekennung: (0x0,0x138BB54)
Anmeldetyp: 3
Vielleicht hat ja jemand einen Vorschlag, an welcher Stelle ich mit meiner Suche beginnen kann. Die Einträge bei eventid.net konnten mir bis jetzt leider nicht weiterhelfen.
Vielen Dank im voraus,
Andreas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 27043
Url: https://administrator.de/forum/ungewoehnlich-viele-erfolgsueberwachungen-in-der-ereignisanzeige-27043.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
11 Kommentare
Neuester Kommentar
Serververwaltungskonsole --> Erweiterte Verwaltung --> Gruppenrichtlinienverwaltung --> Gesamtstruktur --> Gruppenrichtlinienergebnisse --> rechte Mouse --> Gruppenrichtlinienergebnis-Assistent --> Weiter --> Weiter --> keine Benutzerrichtlinieneinstellungen --> Weiter --> Weiter --> Fertig stellen
Im Register Einstellungen --> Windowseinstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien/Überwachungsrichtlinie --> Hier siehst Du, was protokolliert wird und welche der Richtlöinien dafür ausschlaggebend ist, normalerweise ist es die SBS-Überwachungsrichtlinie und die Default Domain Policy.
HTH geTuemII
Im Register Einstellungen --> Windowseinstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien/Überwachungsrichtlinie --> Hier siehst Du, was protokolliert wird und welche der Richtlöinien dafür ausschlaggebend ist, normalerweise ist es die SBS-Überwachungsrichtlinie und die Default Domain Policy.
HTH geTuemII
Ich muss den Tread hier nochmal rauskramen da ich hier keine Antwort auf das Problem gefunden habe.
Denn ich habe auch das Problem mit einem frischen win2k3 SBS R2 Standard.
Der Kommentar von geTuemII hat mich leider auch nicht weiter gebracht nur das ich jetzt die Richtlinien sehen kann.
Wurde das Problem irgendwie gelöst?
Denn ich habe auch das Problem mit einem frischen win2k3 SBS R2 Standard.
Der Kommentar von geTuemII hat mich leider auch nicht weiter gebracht nur das ich jetzt die Richtlinien sehen kann.
Wurde das Problem irgendwie gelöst?
Hallo Robert,
wenn du das Richtlinienergebnis hast, klickst du es auf der linken Fensterseite an. Dann findest du im rechten Fenster drei Register, das mittlere heißt Einstellungen. Jetz weiter wie oben:
Im Register Einstellungen --> Windowseinstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien/Überwachungsrichtlinie --> Hier siehst Du, was protokolliert wird und welche der Richtlöinien dafür ausschlaggebend ist, normalerweise ist es die SBS-Überwachungsrichtlinie und die Default Domain Policy. Die maßgebliche Richtlinie merkst du dir.
Mit dieser Info gehst du nach Serververwaltungskonsole --> Erweiterte Verwaltung --> Gruppenrichtlinienverwaltung --> Gesamtstruktur --> Domänen --> Domain-Name --> Gruppenrichtlinienobjekte --> Small Business Server-Überwachungsrichtlinie (vermutlich ist die es) --> Rechte Maus --> Bearbeiten --> Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Überwachungsrichtlinie --> Anmeldeereignisse überwachen und konfigurierst wie gewünscht
geTuemII
wenn du das Richtlinienergebnis hast, klickst du es auf der linken Fensterseite an. Dann findest du im rechten Fenster drei Register, das mittlere heißt Einstellungen. Jetz weiter wie oben:
Im Register Einstellungen --> Windowseinstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien/Überwachungsrichtlinie --> Hier siehst Du, was protokolliert wird und welche der Richtlöinien dafür ausschlaggebend ist, normalerweise ist es die SBS-Überwachungsrichtlinie und die Default Domain Policy. Die maßgebliche Richtlinie merkst du dir.
Mit dieser Info gehst du nach Serververwaltungskonsole --> Erweiterte Verwaltung --> Gruppenrichtlinienverwaltung --> Gesamtstruktur --> Domänen --> Domain-Name --> Gruppenrichtlinienobjekte --> Small Business Server-Überwachungsrichtlinie (vermutlich ist die es) --> Rechte Maus --> Bearbeiten --> Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Überwachungsrichtlinie --> Anmeldeereignisse überwachen und konfigurierst wie gewünscht
geTuemII
Besten Dank für deine promte Hilfe!
Ich würde schon gerne fehlerhafte und erfolgreiche Anmeldungen von Nutzern an den Server überwachen wollen. Die häufigen (fast im sekundentakt erscheinenden) Events werden ja von einer Systemresscource ausgeführt. Wäre toll herauszufinden welche Ressource es ist und das logging für diese dann herunterzufahren.
Ich denke nach deiner Anleitung deaktiviere ich auch die Anzeige für Nutzeran- und Abmeldungen. Ich probiers aber mal aus.
Ich werde versuchen herauszufinden um welche Systemressource es sich handelt. Melde mich dann nochmal an dieser Stelle.
Es wäre toll wenn der Treaderöffner nochmal reinschauen würde. Dann könnte er berichten ob sich die Situation verbessert hat.
Apropos ich habe auch APC Powerchute am laufen. Eventuell ist das der Auslöser ... ich teste das mal.
Ich würde schon gerne fehlerhafte und erfolgreiche Anmeldungen von Nutzern an den Server überwachen wollen. Die häufigen (fast im sekundentakt erscheinenden) Events werden ja von einer Systemresscource ausgeführt. Wäre toll herauszufinden welche Ressource es ist und das logging für diese dann herunterzufahren.
Ich denke nach deiner Anleitung deaktiviere ich auch die Anzeige für Nutzeran- und Abmeldungen. Ich probiers aber mal aus.
Ich werde versuchen herauszufinden um welche Systemressource es sich handelt. Melde mich dann nochmal an dieser Stelle.
Es wäre toll wenn der Treaderöffner nochmal reinschauen würde. Dann könnte er berichten ob sich die Situation verbessert hat.
Apropos ich habe auch APC Powerchute am laufen. Eventuell ist das der Auslöser ... ich teste das mal.
Freigaben kann ich definitiv auschließen. Hab sämtliche Freigaben auf Überwachung geprüft und keine Einträge gefunden.
Zum Hardwarevergleich meine Serverdaten:
DELL Power Edge 830
Zum Hardwarevergleich meine Serverdaten:
DELL Power Edge 830
Prozessor Hersteller Intel(R) Pentium(R) D CPU 3.00GHz Taktfrequenz 3GHz Größe des L2-Cache 1024 Hersteller Intel(R) Pentium(R) D CPU 3.00GHz Taktfrequenz 3GHz Größe des L2-Cache 1024 Prozessor Taktfrequenz 3GHz Taktfrequenz 3GHz Arbeitsspeicher Verfügbarer Arbeitsspeicher 15.45 % Größe der Auslagerungsdatei 1446.3Mb Verfügbare Auslagerungsdatei 89.83 % Virtueller Speicher 2469.6Mb Verfügbarer virtueller Speicher 58.01 % Arbeitsspeicher Speichersteckplatz 1 [DIMM1_A] 512Mb Speichersteckplatz 2 [DIMM1_B] 512Mb Netzwerkkarte Adapter Broadcom NetXtreme Gigabit Ethernetzusätzliche NIC:Intel PRO/100 S Server Adapter (deaktiviert)Storage Festplatte Typ Festplattengröße Gesamter verfügbarer Platz Verwendeter Platz C: NTFS 148.9Gb 142.4Gb 6.468Gb D: NTFS 148.9Gb 141.0Gb 7.887Gb Hardware Typ Beschreibung DVD-/CD-ROM-Laufwerke LITE-ON CD-ROM LTN-4891S Festplatten DELL Array SCSI Disk Device 148.9Gb Level0DELL Array SCSI Disk Device 148.9Gb Level1Grafikkarten XGI Volari Z7 v1.02.04_Dell 16Mb Diskettenlaufwerke (Standarddiskettenlaufwerke) Diskettenlaufwerk IDE ATA-/ATAPI-Controller Intel(R) 82801GB Ultra ATA Storage Controllers - 27DF Primärer IDE-Kanal TastaturenUSB-HID (Human Interface Device) Mäuse und andere Zeigegeräte USB-HID (Human Interface Device) Monitore Plug und Play-Monitor - (Standardmonitortypen) USB-Controller Intel(R) 82801GB USB Universal Host Controller - 27C8 Intel(R) 82801GB USB Universal Host Controller - 27C9 Intel(R) 82801GB USB Universal Host Controller - 27CA Intel(R) 82801GB USB2 Enhanced Host Controller - 27CC
Hallo habe das gleiche Problem
Manchmal werden user auf clients nur mit einem lokalen Profil verbunden (und nicht dem servergespeicherten). Beim nächsten Anmelden klappts dann wieder…. Evtl hängts mit den vielen An/Abmeldungen zusammen?? Ich würde das Problem daher gern lösen.
Das Problem der vielen An/Abmelde einträge wurde in diesem Forum schon mehrfach angesprochen, aber leider ohne endgültige Lösung und .
Ich würde gern wissen, wie die Leute die die das Problem hatten damit umgehen. Ignorieren?? Über eine Antwort würd ich mich freuen
MIchael
Manchmal werden user auf clients nur mit einem lokalen Profil verbunden (und nicht dem servergespeicherten). Beim nächsten Anmelden klappts dann wieder…. Evtl hängts mit den vielen An/Abmeldungen zusammen?? Ich würde das Problem daher gern lösen.
Das Problem der vielen An/Abmelde einträge wurde in diesem Forum schon mehrfach angesprochen, aber leider ohne endgültige Lösung und .
Ich würde gern wissen, wie die Leute die die das Problem hatten damit umgehen. Ignorieren?? Über eine Antwort würd ich mich freuen
MIchael