3
Was will dieses Ereignis sagen?
Ich bin erst seit kurzem Administrator in einem kleinen Unternehmen...
Hallo,
seit einiger Zeit steht ein ehemaliger Mitarbeiter unter Verdacht sich Zugang auf den Server zu schaffen. Dummerweise ist dieser MA der Admin der Firma gewesen und hat das ganze System aufgesetzt. Seit einiger Zeit bekomme ich immer wieder merkwürdige Ereignismeldungen die mir so nichts sagen. Meistens schaue ich erst bei http://eventid.net nach was es sein könnte. Hierfür habe ich nichts eindeutiges finden können. Könnt ihr mir helfen diese Meldung richtig zu interpretieren?
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Richtlinienänderung
Ereigniskennung: 808
Datum: xx.xx.xxxx
Zeit: 19:16:41
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: xxSERVER
Beschreibung:
Eine Sicherheitsereignisquelle hat versucht sich zu registrieren.
Primärer Benutzername: xxSERVER$
Primäre Domäne: xxCOKG
Primäre Anmeldekennung Anmeldekennung: (0x0,0x3E7)
Client Benutzername: xxSERVER$
Clientdomäne: xxCOKG
Clientanmeldungskennung: (0x0,0x3E7)
Quellenname: IIS-METABASE
Processkennung: 2616
Ereignisquellenkennung: (0x0,0x1718E)
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Win SBS2003 SP2
Fortigate 50A Firewall
McAfee AV
beides managed
Für Tipps bedanke ich mich schon vorab.
Johnny2k
seit einiger Zeit steht ein ehemaliger Mitarbeiter unter Verdacht sich Zugang auf den Server zu schaffen. Dummerweise ist dieser MA der Admin der Firma gewesen und hat das ganze System aufgesetzt. Seit einiger Zeit bekomme ich immer wieder merkwürdige Ereignismeldungen die mir so nichts sagen. Meistens schaue ich erst bei http://eventid.net nach was es sein könnte. Hierfür habe ich nichts eindeutiges finden können. Könnt ihr mir helfen diese Meldung richtig zu interpretieren?
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Richtlinienänderung
Ereigniskennung: 808
Datum: xx.xx.xxxx
Zeit: 19:16:41
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: xxSERVER
Beschreibung:
Eine Sicherheitsereignisquelle hat versucht sich zu registrieren.
Primärer Benutzername: xxSERVER$
Primäre Domäne: xxCOKG
Primäre Anmeldekennung Anmeldekennung: (0x0,0x3E7)
Client Benutzername: xxSERVER$
Clientdomäne: xxCOKG
Clientanmeldungskennung: (0x0,0x3E7)
Quellenname: IIS-METABASE
Processkennung: 2616
Ereignisquellenkennung: (0x0,0x1718E)
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Win SBS2003 SP2
Fortigate 50A Firewall
McAfee AV
beides managed
Für Tipps bedanke ich mich schon vorab.
Johnny2k
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 161597
Url: https://administrator.de/contentid/161597
Printed on: April 28, 2024 at 09:04 o'clock
3 Comments
Latest comment
Und wer ist nun admin du?
Wenn ja hast du doch sicherlich die Benutzerverwaltung unter dir oder?
zu deinem Fehler:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
Äquivalent unter 2008
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
" It is normal to see this event logged for several built-in components of Windows including IIS and DFS-R." Habt ihr nen IIS oder DFS-R im Einsatz?
Zu deinem Post:
Heißt der Benutzer wirklich: xxSERVER$??
vg
Wenn ja hast du doch sicherlich die Benutzerverwaltung unter dir oder?
zu deinem Fehler:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
Äquivalent unter 2008
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
" It is normal to see this event logged for several built-in components of Windows including IIS and DFS-R." Habt ihr nen IIS oder DFS-R im Einsatz?
Zu deinem Post:
Heißt der Benutzer wirklich: xxSERVER$??
vg
ja ich.
Wenn ja hast du doch sicherlich die Benutzerverwaltung unter dir oder?
jazu deinem Fehler:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
Äquivalent unter 2008
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
" It is normal to see this event logged for several built-in components of Windows including IIS and DFS-R." Habt ihr
nen IIS oder DFS-R im Einsatz?
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
Äquivalent unter 2008
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
" It is normal to see this event logged for several built-in components of Windows including IIS and DFS-R." Habt ihr
nen IIS oder DFS-R im Einsatz?
wir haben wsus installiert. geht aber seit kurzem nicht mehr. und zwar seit das adminpasswort abgewandelt wurde (weil erwähnter ma gerne mal nachts als admin zu besuch war).
Zu deinem Post:
Heißt der Benutzer wirklich: xxSERVER$??
Heißt der Benutzer wirklich: xxSERVER$??
nein der user hat den namen des server mit dem $ hinten dran.
vg
es gibt einen weiteren log. bin schon zu hause und poste montag diesen log.
dort steht eigentlich auch nur der satz drin -> die richtlinienaktualisierung wurde erfolgreich durchgeführt für benutzer = 0
hab so ein log vorher noch nie gesehen.
trotzdem danke erstmal.........
Scheinbar entsteht diese Meldung im Zusammenhang mit einer unserer Datenbankenanwendungen. Nichts aufregendes also...
Greetz Johhny2k
Greetz Johhny2k
