none
EVENT ID 4650 von bestimmter Maschine - Anwendung, Prozess bzw. Verursacher herrausfinden? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich bekomme immer mal wieder diese EventID 4625 in meinem Server

    Die Suche danach ergab das das immer auftritt wenn sich ein Benutzer oder Dienst versucht anzumelden, dies aber aufrund vom falchen Logindaten nicht klappt.

    Leider gibt das EVentlog mir nicht genug Informationen was diesen Fehler nun verursacht.Fehler beim Anmelden eines Kontos.

    Mal ein Auszug (IP und Domain verändert):

    Antragsteller:
        Sicherheits-ID:        SYSTEM
        Kontoname:        Servername$
        Kontodomäne:        contoso
        Anmelde-ID:        0x3e7

    Anmeldetyp:            3

    Konto, für das die Anmeldung fehlgeschlagen ist:
        Sicherheits-ID:        NULL SID
        Kontoname:        Admin
        Kontodomäne:        contoso

    Fehlerinformationen:
        Fehlerursache:        Unbekannter Benutzername oder ungültiges Kennwort.
        Status:            0xc000006d
        Unterstatus::        0xc000006a

    Prozessinformationen:
        Aufrufprozess-ID:    0x2bc
        Aufrufprozessname:    C:\Windows\System32\lsass.exe

    Netzwerkinformationen:
        Arbeitsstationsname:    DCSERVERNAME
        Quellnetzwerkadresse:    192.168.10.200
        Quellport:        49880

    Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:        Advapi  
        Authentifizierungspaket:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
        Übertragene Dienste:    -
        Paketname (nur NTLM):    -
        Schlüssellänge:        0

    Fehler beim Anmelden eines Kontos.

    Antragsteller:
        Sicherheits-ID:        NULL SID
        Kontoname:        -
        Kontodomäne:        -
        Anmelde-ID:        0x0

    Anmeldetyp:            3

    Konto, für das die Anmeldung fehlgeschlagen ist:
        Sicherheits-ID:        NULL SID
        Kontoname:        Admin@contoso.local
        Kontodomäne:        

    Fehlerinformationen:
        Fehlerursache:        Unbekannter Benutzername oder ungültiges Kennwort.
        Status:            0xc000006d
        Unterstatus::        0xc000006a

    Prozessinformationen:
        Aufrufprozess-ID:    0x0
        Aufrufprozessname:    -

    Netzwerkinformationen:
        Arbeitsstationsname:    Servernummer2
        Quellnetzwerkadresse:    192.168.10.200
        Quellport:        49880

    Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:        NtLmSsp
        Authentifizierungspaket:    NTLM
        Übertragene Dienste:    -
        Paketname (nur NTLM):    -
        Schlüssellänge:        0

    Solche meldungen häufen sich dort tausendfach.

    Ich weiß das das von Servernummer2 mit der IP ..10.200 ausgeht und das hier versucht wird sich mit dem Konto Admin einzuloggen.

    Dieser hat warscheinlich das falsche Kennowort .... Wie bekommt man nun herraus was genau das verursacht?

    Danke


    • Bearbeitet BR0KK Donnerstag, 6. Juni 2019 09:38
    Donnerstag, 6. Juni 2019 09:35
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden
    Indem man auf Servernummer2 alle Dienste und Tasks überprüft, die mit diesem Account laufen (bzw. eben NICHT laufen...) Eventlog sagt Dir das dann schon, bei was das schief ging.

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Donnerstag, 6. Juni 2019 19:16
    |