ID 675, krbtgt/DOMÄNE.DE

Alle Antworten

• 

  

  0

  Anmelden

  Am 30.09.2010 schrieb -Dirk-:

  seit ca. 6 Tagen loggen alle meine DCs haufenweise eine ID675 mit diesem Inhalt (bei USERNAME stehen verschiedene Domänenuser im Wechsel):
  
  Ereignistyp: Fehlerüberw.
  Ereignisquelle: Security
  Ereigniskategorie: Kontoanmeldung Ereigniskennung: 675
  Datum:  30.09.2010
  Zeit:  07:48:00
  Benutzer:  NT-AUTORITÄT\SYSTEM
  Computer: XXXX
  Beschreibung:
  Fehlgeschlagene Vorbestätigung:
    Benutzername: USERNAME
    Benutzerkennung:  DOMÄNE\USERNAME
    Dienstname: krbtgt/DOMÄNE.DE
    Vorauthentifizierungstyp: 0x0
    Fehlercode: 0x19
    Clientadresse: 192.168.1.4
  
  Die Clientadresse 192.168.1.4 ist ein Exchange 2007. Der Spuk hat massiv seit dem 24.9. begonnen, ohne dass ich einen Zusammenhang zu irgendeiner Veränderung finden kann.

  Kommt es immer vom gleichen Client? Hast Du diese Hinweise schon
  überprüft?
  http://www.eventid.net/display.asp?eventid=675&eventno=62&source=Security&phase=1

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Donnerstag, 30. September 2010 09:30

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Winfried,

  eventid habe ich bereits durch, als Clientcomputer wird immer derselbe geloggt (192.168.1.4), unser Exchange 2007. Ich habe den Verdacht, das es von Remote (VPN) angebundenen Rechnern, deren Outlook sich zum Exchange verbindet, kommt. Es gibt jedoch auch Einträge, bei denen das nicht so ist. Es wird keiner der betroffenen Accounts gelockt (GPO: 5 Fehlversuche).

  ---

  Viele Grüße Dirk

  Donnerstag, 30. September 2010 09:39

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Folgender Artikel mit sehr treffender URL beschreibt es ein wenig:

  http://neues-aus-der-hexenkueche.blogspot.com/2009/05/fehler-675-mit-code-0x19-auf-domanen.html

  In meiner Umgebung gibt es bei den Clients XP und W7x64, auf DC-Seite 1 W2008R2 sowie 3 W2003, der Exchange selbst (kein DC) ist W2008.

  Wenn der User jetzt auf den Exchange zugreift und dieser eine Abfrage an den DC AES-verschlüsselt macht und einen der 2003er DCs erwischt, dann könnte es zu diesem Fehler kommen. Erwischt er den W2008er DC, gibt es keinen Fehler.
  Was meint Ihr?

  ---

  Viele Grüße Dirk

  Donnerstag, 30. September 2010 12:01

  Antworten

  |

  Zitieren
• 

  

  1

  Anmelden

  Hi -Dirk-,

  du hast du Ursache doch gefunden und wenn du in absehbarer Zeit nicht die
  überigen DCs hochziehst oder die Meldung nicht einfach ignorieren möchtest,
  änder den Parameter DefaultEncryptionType setzt.

  Es gibt auch noch viele andere schöne Artikel zu dem Thema:
  http://blogs.technet.com/b/instan/archive/2009/10/12/changes-in-default-encryption-type-for-kerberos-pre-authentication-on-vista-and-windows-7-clients-cause-security-audit-events-675-and-680-on-windows-server-2003-dc-s.aspx
  Viele Grüße
  Christian

  • Als Antwort markiert Andrei TalmaciuModerator Mittwoch, 6. Oktober 2010 08:31

  Dienstag, 5. Oktober 2010 18:05

  Antworten

  |

  Zitieren