none
Event ID 4625 im Intervall - es funktioniert aber alles RRS feed

  • Frage

  • Hallo,

    .

    wir haben ein paar Kunden mit Server 2016. Auf der Hardware ist immer nur die HyperV Rolle und ein Backup-Programm installiert und im HyperV laufen 1-4 VMs.

    In der ersten VM läuft immer der Server 2016 als Domain Controller.

    Die anderen VMs sind nach Bedarf, aber wenn dann auch Server 2016. Diese weiteren VMs (Server 2016er) sind Domain-Mitglieder. Es gibt aber auch einen Kunden, der hat nur genau eine VM - und zwar die mit dem DC.

    .

    Nun durfte ich feststellen, dass bei allen DCs im Ereignisprotokoll -> Sicherheit der Fehler "Überwachung gescheitert" mit der ID 4672 im Intervall erscheint. Auf den weiteren VMs und auch auf dem HyperV-Host kommt der Fehler nicht.

    .

    hier mal das Ereignis in Kopie:

    Fehler beim Anmelden eines Kontos.
    
    Antragsteller:
    	Sicherheits-ID:		SYSTEM
    	Kontoname:		SRVVMDC$
    	Kontodomäne:		********
    	Anmelde-ID:		0x3E7
    
    Anmeldetyp:			3
    
    Konto, für das die Anmeldung fehlgeschlagen ist:
    	Sicherheits-ID:		NULL SID
    	Kontoname:		
    	Kontodomäne:		
    
    Fehlerinformationen:
    	Fehlerursache:		Unbekannter Benutzername oder ungültiges Kennwort.
    	Status:			0xC000006D
    	Unterstatus::		0xC0000064
    
    Prozessinformationen:
    	Aufrufprozess-ID:	0x2b0
    	Aufrufprozessname:	C:\Windows\System32\lsass.exe
    
    Netzwerkinformationen:
    	Arbeitsstationsname:	SRVVMDC
    	Quellnetzwerkadresse:	-
    	Quellport:		-
    
    Detaillierte Authentifizierungsinformationen:
    	Anmeldeprozess:		Schannel
    	Authentifizierungspaket:	Kerberos
    	Übertragene Dienste:	-
    	Paketname (nur NTLM):	-
    	Schlüssellänge:		0

    Interessant finde ich, dass es eine "NULL SID" ist und es keinen Benutzernamen gibt.

    .

    Zum Intervall: es gibt 2 Wellen dieser Ereignisse.

    Jede Stunde (rund um die Uhr) kommt es 12x zu diesem Fehler. Alle 12 Fehler erscheinen zur selben Sekunde. Dann ist wieder 1 Stunde Ruhe - dann wieder 12x der Fehler. Ich nenne das mal die "große Welle". An einem der Server ist das beispielsweise 12:45:06 und dann 13:45:06 usw.

    Des Weiteren kommt es ebenso jede Stunde 2x zu dem gleichen Fehler (die "kleine Welle"). Dieser ist aber um 12:26:36 und dann um 13:26:36 usw.

    .

    An einem anderen Kundenserver ist es identisch... es kommt die "große Welle" zu einer Uhrzeit bspw. 16x um 13:30:53. Dazu kommt die "kleine Welle" mit 2x um 13:20:47.

    .

    Dies betrifft alle unserer 2016er DCs. Der Unterschied ist stets nur die genaue Uhrzeit wann die Ereignisse auftreten und bei der "großen Welle" die Anzahl. Diese schwankt zwischen 8x und 16x. Die Anzahl ist aber pro Server gleichbleibend.

    Die "kleine Welle" hatte bisher immer 2x.

    .

    Was kann das sein?

    Es sind darunter kleine Netzwerke - größere Netzwerke. Es sind welche mit separatem Virenscanner - welche ohne. Es gibt den einen Kunden, der nur den DC als VM hat - es gibt welche mit 4 VMs. Es gibt welche, wo irgend ein Client im Netz immer an ist - es gibt welche wo mit Büroschluss alle Clients heruntergefahren sind. Es gibt welche mit Standard-Router wie einer FritzBox - welche mit spezieller Firewall. Und und und.

    Gleichbleibend ist immer nur, dass jeder DC diese Fehler wirft. Am DC ist überall die "Essentials Umgebung" installiert. Normalerweise nicht mehr. Vielleicht mal noch ein Tool oder eine kleinere Datenbankanwendung.

    .

    Wo soll ich suchen? Interessiert mich dieser Fehler?

    Thomas

    Mittwoch, 7. August 2019 12:33

Alle Antworten

  • Hallo Thomas,

    es können sowohl erfolgreiche als auch fehlgeschlagene Anmeldungs-/ Abmeldungsversuche überwacht werden. 

    Audit Logon Events aktivieren:

    Führe den Befehl gpmc.msc aus, um die Group Policy Management Console zu starten.

    Wenn du das auf die gesamte Domäne anwenden willst, dann mit der rechten Maustaste auf den Domain Object klicken und “Create a GPO in this domain, and Link it here….“ Auswählen.

    Aber wenn du die Ereignisse auf die gesamte Domäne nicht anwenden willst, dann wähle eine beliebige OU anstatt einer Domäne aus.

    Schreibe einen neuen Gruppenrichtlinienobjekt-Name.

    Rechtsklick auf  GPO “Longon Logoff reports“ - Edit

    Wenn du diesen anklickst, öffnet sich der Group Policy Management Editor (GPME).
    Unter Computer Configuration navigiere zu Policy

    Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy -> Audit logon events -> wähle Properties “Audit logon events” und markiere die “Success” and “Failure” Kästchen -> OK.

    Nachdem du die Richtlinien konfiguriert hast, solltest du den Befehl gpupdate /force ausführen.

    Gruß

    Mihaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.





    Donnerstag, 8. August 2019 12:32
    Moderator
  • Hallo und Danke,

    .

    aber bringt mich das weiter? Also damit kann ich das Mitloggen verhindern - aber es bleiben dennoch die fehlgeschlagenen Anmeldeversuche. Nur ich sehe sie danach nicht mehr, weil sie nicht mehr geloggt werden.

    .

    Das klärt doch aber nicht, wieso es diese Meldungen überhaupt gibt!? Genau im Stundenintervall - an jedem Server 2016.

    .

    Oder habe ich etwas nicht verstanden?

    .

    Grüße

    Thomas

    Montag, 12. August 2019 13:20