none
EVENT ID 4625 RRS feed

  • Frage

  • Hallo habe da ebenfalls wie viele anderen auch dieses Problem mit der Event ID 4625, die ständig im Ereignissprotokoll auftaucht (siehe unten). Dadurch bekommt meine Monitoring SW, immer Meldungen über sog. Hacker Angriffe, die Ich auch die beim sog. Hackercheck nicht austellen möchte (denn sie log't ja auch sinnvolle Sachen über Zugfriffe). Nur ist es mit bisher ein Rätsel wie ich es hinbekomme das ich nicht mehr diesen "Fehler" im Log bekomme.

    Kurz zur "Hardware": Server ist ein HP Proliant ML350 G5 mit Server 2008 R2 SP1 und der Fehrler ist auf einer der VMware Maschinen die ebenfalls mit Server 2008 R2 SP1 laufen.

    HIER NUN DIE FOLGENDE FEHLERMELDUNG:

    Fehler beim Anmelden eines Kontos.

    Antragsteller:
        Sicherheits-ID:        NULL SID
        Kontoname:        -
        Kontodomäne:        -
        Anmelde-ID:        0x0

    Anmeldetyp:            3

    Konto, für das die Anmeldung fehlgeschlagen ist:
        Sicherheits-ID:        NULL SID
        Kontoname:        
        Kontodomäne:        

    Fehlerinformationen:
        Fehlerursache:        Bei der Anmeldung ist ein Fehler aufgetreten.
        Status:            0xc000006d
        Unterstatus::        0x80090325

    Prozessinformationen:
        Aufrufprozess-ID:    0x0
        Aufrufprozessname:    -

    Netzwerkinformationen:
        Arbeitsstationsname:    -
        Quellnetzwerkadresse:    -
        Quellport:        -

    Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:        Schannel
        Authentifizierungspaket:    Microsoft Unified Security Protocol Provider
        Übertragene Dienste:    -
        Paketname (nur NTLM):    -
        Schlüssellänge:        0

    Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

    Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

    Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

    Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

    Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

    Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
        - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
        - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
        - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

    Dienstag, 9. April 2013 08:54