none
Login Fehler ohne Benutzer und IP seit Koppelung mit Office 365 - 2016er Essential Server RRS feed

  • Frage

  • Hallo Technet Gemeinde,

    ich habe bei einem Kunden ein es komisches Phanomen und finde keine Lösung dafür.

    Der Kunde hat einen kleinen 2016er Essentials Server der Active Directory, DNS uns File trägt. Der Exchange Server ist über Office 365 gemietet und wurde über den Essentials Assistenten mit AD gekoppelt. Klappt auch alles super und soweit gibt es auch keine Fehler, nur finden am Tag ca. 300-350 Anmeldeversuche am Server statt ohne Namen und IP-Adresse.

    Ich meine das dieser Fehler seit der Koppelung mit Office 365 aufgetreten ist. 

    Folgender Fehler erscheint dann im Eventlog (IP-Adressen und Servernamen habe ich geschwärzt)

    Protokollname: Security
    Quelle:        Microsoft-Windows-Security-Auditing
    Datum:         13.06.2017 12:36:31
    Ereignis-ID:   4625
    Aufgabenkategorie:Anmelden
    Ebene:         Informationen
    Schlüsselwörter:Überwachung gescheitert
    Benutzer:      Nicht zutreffend
    Computer:      Server.Kundendomäne.local
    Beschreibung:
    Fehler beim Anmelden eines Kontos.

    Antragsteller:
    Sicherheits-ID: NULL SID
    Kontoname: -
    Kontodomäne: -
    Anmelde-ID: 0x0

    Anmeldetyp: 3

    Konto, für das die Anmeldung fehlgeschlagen ist:
    Sicherheits-ID: NULL SID
    Kontoname: guest
    Kontodomäne:

    Fehlerinformationen:
    Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
    Status: 0xC000006D
    Unterstatus:: 0xC0000064

    Prozessinformationen:
    Aufrufprozess-ID: 0x0
    Aufrufprozessname: -

    Netzwerkinformationen:
    Arbeitsstationsname: \\Server-IP
    Quellnetzwerkadresse: Server-IP
    Quellport: 63425

    Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess: NtLmSsp 
    Authentifizierungspaket: NTLM
    Übertragene Dienste: -
    Paketname (nur NTLM): -
    Schlüssellänge: 0

    Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

    Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

    Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

    Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

    Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

    Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
    - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4625</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime="2017-06-13T10:36:31.317104500Z" />
        <EventRecordID>2065337</EventRecordID>
        <Correlation />
        <Execution ProcessID="616" ThreadID="13936" />
        <Channel>Security</Channel>
        <Computer>Server.Kundendomäne.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="SubjectUserSid">S-1-0-0</Data>
        <Data Name="SubjectUserName">-</Data>
        <Data Name="SubjectDomainName">-</Data>
        <Data Name="SubjectLogonId">0x0</Data>
        <Data Name="TargetUserSid">S-1-0-0</Data>
        <Data Name="TargetUserName">guest</Data>
        <Data Name="TargetDomainName">
        </Data>
        <Data Name="Status">0xc000006d</Data>
        <Data Name="FailureReason">%%2313</Data>
        <Data Name="SubStatus">0xc0000064</Data>
        <Data Name="LogonType">3</Data>
        <Data Name="LogonProcessName">NtLmSsp </Data>
        <Data Name="AuthenticationPackageName">NTLM</Data>
        <Data Name="WorkstationName">\\Server-IP</Data>
        <Data Name="TransmittedServices">-</Data>
        <Data Name="LmPackageName">-</Data>
        <Data Name="KeyLength">0</Data>
        <Data Name="ProcessId">0x0</Data>
        <Data Name="ProcessName">-</Data>
        <Data Name="IpAddress">Server-IP</Data>
        <Data Name="IpPort">63425</Data>
      </EventData>
    </Event>

    Wäre schön wenn jemand eine Lösung hat. 

    Danke und Gruß

    Roman

    Dienstag, 13. Juni 2017 11:18