mexx
Goto Top

Windows Server 2016 Domaincontroller Sicherheitslog Anmeldung fehlgeschlagen wird nicht geloggt

Hallo,

wir habe unsere Domaincontroller auf Server 2016 angehoben (neuaufgesetzt) und in der Domain Controller GPO unter Computerrichtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> lokale Richtlinien -> Überwachungsrichtlinien die Anmeldeereignisse/Anmeldeversuche und Objektzugriffsversuche überwachen auf Erfolgreich und Fehler gesetzt. Leider werden im Sicherheitslog die fehlgeschlagenen Anmeldeversuche dennoch nicht geloggt.

Woran kann das liegen? Via gpresult kann ich sehen, dass die Domaincontroller diese GPO erfolgreich gezogen haben, aber sie greifen einfach nicht.

Vielen Dank für eure Hilfe,
mexx

Content-ID: 375528

Url: https://administrator.de/forum/windows-server-2016-domaincontroller-sicherheitslog-anmeldung-fehlgeschlagen-wird-nicht-geloggt-375528.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

DerWoWusste
DerWoWusste 30.05.2018 aktualisiert um 13:43:50 Uhr
Goto Top
Hi.

Prüfe, ob alle DCs diese GPO anwenden.
Prüfe, ob bei der Fehlanmeldung wirklich ein Domänenkonto benutzt wird und ob zu diesem Zeitpunkt schon Domänenkonnektivität besteht.
emeriks
emeriks 30.05.2018 um 13:46:08 Uhr
Goto Top
Hi,
und prüfe die Eventlogs aller Domaincontroller dieser Domäne.

E.
mexx
mexx 30.05.2018 um 15:49:18 Uhr
Goto Top
Ja, die GPO wird von allen DC gezogen und angeblich verwendet.
Ja, der Client besitzt eine Verbindung zum DC, da er ohne diese keine Anmeldemaske anbieten würde. Ist ein Thinclient und an dessen Konfiguration hat sich nach dem Upgrade auf 2016 nichts geändert und unter 2008 R2 lief es.
Ja, ich habe alle Eventlogs des Domaincontrollers überprüft.
emeriks
emeriks 30.05.2018 um 15:50:56 Uhr
Goto Top
Ja, ich habe alle Eventlogs des Domaincontrollers überprüft.
Die Frage war: Aller DC's! Habt Ihr da etwa nur einen DC?
DerWoWusste
DerWoWusste 30.05.2018 um 15:52:04 Uhr
Goto Top
Wie gesagt: nicht alle Logs prüfen, sondern die Sicherheitslogs aller DCs.
mexx
mexx 30.05.2018 um 16:07:18 Uhr
Goto Top
Die Sicherheitslogs aller Domaincontroller beinhalten die Fehlanmeldungen nicht - ABER - ich sehe gerade, dass die Sicherheitslogs der DCs durchaus die Fehlanmeldungen beinhalten, wenn ich mit einen unbekannten Benutzername eine RDP Sitzung AUF einen Domaincontroller machen. Fehlanmeldungen an einen Terminalserver befinden sich im Sicherheitslog der Terminalserver. Das wundert mich, dann in der 2008er Umgebung trugen die Sicherheitslogs der DCs auch die Fehlanmeldungen der Domainmitgliedersicherheitslogs.
DerWoWusste
DerWoWusste 30.05.2018 um 16:49:26 Uhr
Goto Top
Hier geht es auf 2016er DCs, falls das zur Debatte steht.
emeriks
emeriks 31.05.2018 um 08:05:40 Uhr
Goto Top
Kann ich auch nicht bestätigen.
Auf den TS kann das dann nur für lokale Konten dieser TS sein.