none
Ereignis ID 1035 MSExchangeTransport und 4625 Microsoft Windows-Sicherheitsüberprüfung. RRS feed

  • Frage

  • Hallo, 

    im Anwendungsprotokoll habe ich immer wieder folgende Meldung:

    Fehler LogonDenied bei der eingehenden Authentifizierung für den Empfangsconnector Default SERVER. Der Authentifizierungsmechanismus ist Ntlm. Die Quell-IP-Adresse des Clients, der die Authentifizierung bei Microsoft Exchange versucht hat, ist [146.0.36.120].

    Hier habe ich schon versucht die IP Adresse in der Sperrliste beim Empfangsconnector zu blockieren, hat aber leider nicht funktioniert.

    Im Systemprotokoll habe ich folgende Meldung:

    Fehler beim Anmelden eines Kontos.
    
    Antragsteller:
    	Sicherheits-ID:		NULL SID
    	Kontoname:		-
    	Kontodomäne:		-
    	Anmelde-ID:		0x0
    
    Anmeldetyp:			3
    
    Konto, für das die Anmeldung fehlgeschlagen ist:
    	Sicherheits-ID:		NULL SID
    	Kontoname:		aaaaaa
    	Kontodomäne:		cnsnews.com
    
    Fehlerinformationen:
    	Fehlerursache:		Unbekannter Benutzername oder ungültiges Kennwort.
    	Status:			0xc000006d
    	Unterstatus::		0xc0000064
    
    Prozessinformationen:
    	Aufrufprozess-ID:	0x0
    	Aufrufprozessname:	-
    
    Netzwerkinformationen:
    	Arbeitsstationsname:	F622
    	Quellnetzwerkadresse:	-
    	Quellport:		-
    
    Detaillierte Authentifizierungsinformationen:
    	Anmeldeprozess:		NtLmSsp 
    	Authentifizierungspaket:	NTLM
    	Übertragene Dienste:	-
    	Paketname (nur NTLM):	-
    	Schlüssellänge:		0
    
    Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
    
    Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
    
    Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
    
    Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
    
    Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
    
    Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
    	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
    	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
    	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

    Hier ändert sich der Kontoname immer, mal steht root, mal Guest und auch wie hier jetzt aaaaaaaa. Die Kontodomäne ist immer gleich. Die beiden Events werden nicht zur seleben Zeit protokolliert.

    Meine Frage, wie bekomme ich die weg bzw. sperre diese?

    Server ist ein Exchange Server 2008 R2 mit aktuellem Patchlevel.

    Gruß


    Donnerstag, 11. Dezember 2014 13:40

Antworten

  • Moin,

    wenn das immer die gleiche IP-Adresse ist, dann sperr sie am besten in der Firewall.

    In Exchange kannst Du da in diesem Punkt nicht wirklich was sperren. Du kannst die IP-Adresse im Empfangsconnector ausnehmen, dann bekommst Du aber andere Fehlermeldungen.

    Ignorieren wäre daher auch eine Möglichkeit.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 11. Dezember 2014 13:55

Alle Antworten

  • Moin,

    wenn das immer die gleiche IP-Adresse ist, dann sperr sie am besten in der Firewall.

    In Exchange kannst Du da in diesem Punkt nicht wirklich was sperren. Du kannst die IP-Adresse im Empfangsconnector ausnehmen, dann bekommst Du aber andere Fehlermeldungen.

    Ignorieren wäre daher auch eine Möglichkeit.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 11. Dezember 2014 13:55
  • Sorry für die späte Antwort und danke für Deinen Tipp!

    Donnerstag, 18. Dezember 2014 09:59