Hallo Technet Gemeinde,
ich habe bei einem Kunden ein es komisches Phanomen und finde keine Lösung dafür.
Der Kunde hat einen kleinen 2016er Essentials Server der Active Directory, DNS uns File trägt. Der Exchange Server ist über Office 365 gemietet und wurde über den Essentials Assistenten mit AD gekoppelt. Klappt auch alles super und soweit gibt es auch keine
Fehler, nur finden am Tag ca. 300-350 Anmeldeversuche am Server statt ohne Namen und IP-Adresse.
Ich meine das dieser Fehler seit der Koppelung mit Office 365 aufgetreten ist.
Folgender Fehler erscheint dann im Eventlog (IP-Adressen und Servernamen habe ich geschwärzt)
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 13.06.2017 12:36:31
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: Server.Kundendomäne.local
Beschreibung:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID:
NULL SID
Kontoname:
-
Kontodomäne:
-
Anmelde-ID:
0x0
Anmeldetyp:
3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID:
NULL SID
Kontoname:
guest
Kontodomäne:
Fehlerinformationen:
Fehlerursache:
Unbekannter Benutzername oder ungültiges Kennwort.
Status:
0xC000006D
Unterstatus::
0xC0000064
Prozessinformationen:
Aufrufprozess-ID:
0x0
Aufrufprozessname:
-
Netzwerkinformationen:
Arbeitsstationsname:
\\Server-IP
Quellnetzwerkadresse:
Server-IP
Quellport:
63425
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess:
NtLmSsp
Authentifizierungspaket:
NTLM
Übertragene Dienste:
-
Paketname (nur NTLM):
-
Schlüssellänge:
0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2017-06-13T10:36:31.317104500Z" />
<EventRecordID>2065337</EventRecordID>
<Correlation />
<Execution ProcessID="616" ThreadID="13936" />
<Channel>Security</Channel>
<Computer>Server.Kundendomäne.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">guest</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">\\Server-IP</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">Server-IP</Data>
<Data Name="IpPort">63425</Data>
</EventData>
</Event>
Wäre schön wenn jemand eine Lösung hat.
Danke und Gruß
Roman
