none
Nach Absturz: Security-Log 537: Während der Anmeldung ist ein Fehler aufgetreten.

    Question

  • Hallo zusammen!

    Ich habe ein SBS 2003 der gestern, aus einem bis jetzt für mich nicht
    ersichtlichem Grund, stehen geblieben ist. Die letzten Log Einträge waren
    rund eine Stunde vor dem Crash und die waren auch auch nur Info's.
    Ein Kaltstart erweckte ihn wieder zum leben, doch leider Müllt er jetzt das
    Sicherheitsprotokoll zu, im Abstand von einer Stunde:

    ---
    Ereignistyp: Fehlerüberw.
    Ereignisquelle: Security
    Ereigniskategorie: An-/Abmeldung
    Ereigniskennung: 537
    Datum:  22.10.2010
    Zeit:  09:45:08
    Benutzer:  NT-AUTORITÄT\SYSTEM
    Computer: SERVERNAME
    Beschreibung:
    Fehlgeschlagene Anmeldung:
      Grund:  Während der Anmeldung ist ein Fehler aufgetreten.
      Benutzername: -
      Domäne:  -
      Anmeldetyp: 5
      Anmeldevorgang: Advapi 
      Authentifizierungspaket: Negotiate
      Name der Arbeitsstation: -
      Statuscode: 0xC00000EE
      Substatuscode: 0xC00000EE
      Aufruferbenutzername: SERVER01$
      Aufruferdomäne: DOMÄNENNAME
      Aufruferanmeldekennung: (0x0,0x3E7)
      Aufruferprozesskennung: 1116
      Übertragene Dienste: -
      Quellnetzwerkadresse: -
      Quellport: -
    ---

    Davon seit dem Absturz gestern rund 130000 mal.

    PID 1116 ist die Svchost.exe. Und laut Tasklist für folgende Dienste
    verantwortlich:

    Abbildname                   PID Dienste
    ==========================================
    svchost.exe                  1116 AeLookupSvc, Browser, CryptSvc,
                                       dmserver, EventSystem, helpsvc, HidServ,
                                       lanmanserver, lanmanworkstation,
                                       Messenger, Netman, Nla, RasMan, Schedule,
                                       seclogon, SENS, SharedAccess,
                                       ShellHWDetection, winmgmt, wuauserv

    Ich muss natürlich die Eierlegende Wollmilchsau der svchosts erwischen.

    Wie gehe ich jetzt weiter vor um den Übeltäter zu finden?

    Er ist nach dem Absturz laut Log "fehlerfrei" hochgefahren, nur die üblichen
    Fehlermeldungen beim Start. Die anderen Logs zeigen jetzt im Betrieb auch
    nichts auffälliges. Es scheint auch alles zu funktionieren, den bis jetzt hat sich
    noch keiner der User beschwerd.

    Chris

    Friday, October 22, 2010 8:49 AM

All replies

  • Am 22.10.2010 schrieb Olin Dara:

    Davon seit dem Absturz gestern rund 130000 mal.

    PID 1116 ist die Svchost.exe. Und laut Tasklist für folgende Dienste verantwortlich:

    Abbildname                   PID Dienste
    ==========================================
    svchost.exe                  1116 AeLookupSvc, Browser, CryptSvc,
                                       dmserver, EventSystem, helpsvc, HidServ,
                                       lanmanserver, lanmanworkstation,
                                       Messenger, Netman, Nla, RasMan, Schedule,
                                       seclogon, SENS, SharedAccess,
                                       ShellHWDetection, winmgmt, wuauserv

    Ich muss natürlich die Eierlegende Wollmilchsau der svchosts erwischen.

    Wie gehe ich jetzt weiter vor um den Übeltäter zu finden?

    Mit dem ProcessExplorer von MS könntest Du den Überltäter finden. ;)

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Saturday, October 23, 2010 1:22 PM
  • Hi Chris,
     
    > Ich habe ein SBS 2003 der gestern, aus einem bis jetzt für mich nicht
    > ersichtlichem Grund, stehen geblieben ist. Die letzten Log Einträge waren
    > rund eine Stunde vor dem Crash und die waren auch auch nur Info's.
    > Ein Kaltstart erweckte ihn wieder zum leben, doch leider Müllt er jetzt
    > das
    > Sicherheitsprotokoll zu, im Abstand von einer Stunde:
    >
    > ---
    > Ereignistyp: Fehlerüberw.
    > Ereignisquelle: Security
    > Ereigniskategorie: An-/Abmeldung
    > Ereigniskennung: 537
    > Datum: 22.10.2010
    > Zeit: 09:45:08
    > Benutzer: NT-AUTORITÄT\SYSTEM
    > Computer: SERVERNAME
    > Beschreibung:
    > Fehlgeschlagene Anmeldung:
    > Grund: Während der Anmeldung ist ein Fehler aufgetreten.
    > Benutzername: -
    > Domäne: -
    > Anmeldetyp: 5
    > Anmeldevorgang: Advapi
    > Authentifizierungspaket: Negotiate
    > Name der Arbeitsstation: -
    > Statuscode: 0xC00000EE
    > Substatuscode: 0xC00000EE
    > Aufruferbenutzername: SERVER01$
    > Aufruferdomäne: DOMÄNENNAME
    > Aufruferanmeldekennung: (0x0,0x3E7)
    > Aufruferprozesskennung: 1116
    > Übertragene Dienste: -
    > Quellnetzwerkadresse: -
    > Quellport: -
     
    evtl. hilft Dir der Statuscode weiter?
     
    0xC00000EE
    An attempt has been made to start a new session manager or LSA logon session
    with an ID that is already in use.
    STATUS_LOGON_SESSION_EXISTS
     
     
    Aktiviere auch einmal das Kerberos Logging:
     
    How to enable Kerberos event logging
    http://support.microsoft.com/kb/262177/en-us
     
    und analysiere Deine Ergebnisse mittels folgendem Artikel:
     
    Description of Common Kerberos-Related Errors in Windows
    http://support.microsoft.com/kb/230476/en-us
     
     
    Weitere Hinweise findest Du, wie gewöhnlich, auch hier:
     
    http://www.eventid.net/display.asp?eventid=537&eventno=194&source=Security&phase=1
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
    Wednesday, October 27, 2010 10:52 AM