Remove From My Forums

593 680 sec audit event

Allgemeine Diskussion
0

Anmelden
Hallo,

ich bekomme an jeder Arbeitsstation (XP SP3) ein Sec Event am Server.

680:

nmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Anmeldekonto: Administrator

Arbeitsstation: Alpha

Fehlercode: 0xC000006A

529:

ehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername: Administrator

Domäne: Alpha

Anmeldevorgang: NtLmSsp

Authentifizierungspaket: NTLM

Name der Arbeitsstation: Alpha

Das Problem tritt auf, wenn ich mich als lokaler Admin an der Station anmelde. Vermutlich versucht sich die Arbeitsstation mit den Credentials am Server anzumelden, was fehlschlägt, da der Domänen Admin ein anderen Kennwort hat. Das alleine wäre nciht so schlimm, aber die Folge ist, dass das Admin Konto (order Maschinenkonto?) gesperrt wird und die Arbeitsstation ein 5719 netlogon event produziert und somit keine Verbindung zum DC hat, GPOs nicht lädt, Zeit nicht sync usw.

Ich überlege die lokalen Admins per GPO umbenennen zu lassen und dann zu sehen, ob das Problem immer noch auftritt. Habt ihr eine bessere Idee?

VG

Chris
- Typ geändert Andrei TalmaciuModerator Donnerstag, 2. Dezember 2010 07:25 inaktiver Thread
Donnerstag, 18. November 2010 18:47

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Hi,

wenn du dich lokal anmeldest (also als Domäne den Computer wählst) wird keine Benutzeranmeldung gegen die Domäne durchgeführt. Das Problem klingt eher danach, als wenn auf den Clients z.B. ein Dienst mit dem Administratokonto gestartet werden soll und das passt nicht. Seid wann tritt das Problem den auf ?

Hast du kürzlich das Administrator Kennwort der Domäne geändert ?
Viele Grüße Carsten

Donnerstag, 18. November 2010 20:08

Antworten

|

Zitieren
0

Anmelden

Hallo,

normalerweise sollte es ja keine auth gegen die Domäne geben vom lokalen Admin aus. Im Services.msc habe ich bisher keinen Dienst mit einem Admin Konto gefunden.

Seit wann es auftritt kann ich nicht sagen, da der Kunde das nicht in dem Maße protolliert hat. Ich habe eben falls alle Shares getrennt, die evtl. den Zugriff auf die Domäne herstellen könnten. Welche Ursachen könnte es noch haben oder kann ich noch anderweitig Programme ident. die versuchen zuzugreifen? Vermutlich switcht die negotiation auf NTLM um, wenn Kerberos fehlschlägt.

Donnerstag, 18. November 2010 20:29

Antworten

|

Zitieren
0

Anmelden

Hallo,

hast du die Möglichkeit, den Anmeldeverkehr mal mitzuschneiden ? Nach Diensten und Freigaben kann man sonst noch die laufenden Prozesse untersuchen.

Viele Grüße Carsten

Donnerstag, 18. November 2010 20:49

Antworten

|

Zitieren
0

Anmelden

Hallo,

habe ich mal mit wireshark gemacht. Ich habe bisher kein Programm, Dienst etc gefunden, das in Frage käme. Wenn ich jedoch eine Freigabe als lokaler Admin auf dem DC öffnen will, dann bekomme ich gleich die Meldung, dass das Konto gesperrt ist (das Domänen Admin Konto). Ich bekomme also keine Anmeldemaske mehr, wo ich meine Credentials eintragen könnte.

Beim Netzwerkverkehr läuft das folgendermaßen ab:

SMB Trans2 Request, GET_DFS_REFFERAL, File: \SERVER\SHARE
SMB Trans2 Response, GET_DFS_REFERAL, Error: STATUS_NOT_FOUND
SMB Session Setup AndX Request, NTLMSSP_NEGOTIATE
SMB Session Setup AndX Resonse, NTLMSSP_CHALLENGE, Error:STATUS_MORE_PROCESSING
SMB Session Setup AndX Request, NTLMSSP_Auth, USER: PC\Administraor
SMB Session Setup AndX Response, ERROR: STATUS_LOGON_FAILURE

Das Spiel macht er 5x und dann wird der Account gesperrt.
SMB Session Setup AndX Response, Error: STATUS_ACCOUNT_LOCKED_OUT

Ich frage mich, wieso ich keine Maske bekomme, wo ich die richtigen Login Daten eingeben kann.

vg

Montag, 22. November 2010 10:20

Antworten

|

Zitieren
0

Anmelden

Hallo Chris,

probiere es mit einem sauberen Neustart. Damit könnte Drittanbieter-Software als Ursache ausgeschloßen/bestätigt werden.

Gruß,
Andrei

Mittwoch, 24. November 2010 09:47

Antworten

|

Zitieren

Moderator