none
Event ID 4625 - Fehlerhafte Anmeldung über den Maschinen Account RRS feed

  • Frage

  • Hallo Zusammen

    Zur Ausgangslage, wir haben zwei Windows 2016 Server, welche sich in unterschiedlichen Domänen befinden, der ServerA in DomäneA dient als Printserver für den ServerB aus der DomäneB. Druckerverbindungen auf dem ServerB werden mit Benutzer Credentials aus der DomäneA hergestellt, das funktioniert soweit.

    Nun finde ich auf dem ServerA im Security Eventlog tausende 4625er & 4776er Events welche Anmeldeversuche des ServerB mit dem Maschinen Account rapportieren. Diese Anmeldeversuche finden allerdings nur dann statt, wenn der ServerB rebootet wird.

    Ein Auszug aus dem Eventlog des ServerA:

    Event 4776

    The computer attempted to validate the credentials for an account.

    Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Logon Account: ServerB$
    Source Workstation: SREVERB
    Error Code: 0xC0000064

    Event 4625

    An account failed to log on.

    Subject:
    Security ID: NULL SID
    Account Name: -
    Account Domain: -
    Logon ID: 0x0

    Logon Type: 3

    Account For Which Logon Failed:
    Security ID: NULL SID
    Account Name: ServerB$
    Account Domain: DomäneB

    Failure Information:
    Failure Reason: Unknown user name or bad password.
    Status: 0xC000006D
    Sub Status: 0xC0000064

    Process Information:
    Caller Process ID: 0x0
    Caller Process Name: -

    Network Information:
    Workstation Name: ServerB
    Source Network Address: 10.10.10.10
    Source Port: 50253

    Detailed Authentication Information:
    Logon Process: NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only): -
    Key Length: 0

    Die Servernamen und IP habe ich im Auszug geändert.

    Meine Frage geht nun dahin, weshalb sich das OS des ServerB nach einem Reboot so exzessive versucht an ServerA anzumelden und dies über den Maschinen Account, obwohl nach dem Reboot nicht sofort die Druckerverbindung gestartet wird.

    Besten Dank für eure Unterstützung.

    Grüsse

    Roland


    Donnerstag, 17. Oktober 2019 12:04

Alle Antworten

  • Hallo Roland,

    vielleicht kann diese Anleitung Dir dabei helfen, mehr über die Angelegenheit zu erfahren:

    Step-By-Step: Enabling Advanced Security Audit Policy via Directory Services Access

    Es könnten sowohl erfolgreiche als auch fehlgeschlagene Anmeldung- /Abmeldungsversuche überwacht werden.

    Audit Logon Events aktivieren:

    Führe den Befehl gpmc.msc aus, um die Group Policy Management Console zu starten.

    Wenn du das auf die gesamte Domäne anwenden willst, dann mit der rechten Maustaste auf den Domain Object klicken und “Create a GPO in this domain, and Link it here….“ Auswählen.

    Aber wenn du die Ereignisse auf die gesamte Domäne nicht anwenden willst, dann wähle eine beliebige OU anstatt einer Domäne aus.

    Schreibe einen neuen Gruppenrichtlinienobjekt-Name.

    Rechtsklick auf  GPO “Longon Logoff reports“ - Edit

    Wenn du diesen anklickst, öffnet sich der Group Policy Management Editor (GPME).
    Unter Computer Configuration navigiere zu Policy

    Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy -> Audit logon events -> wähle Properties “Audit logon events” und markiere die “Success” and “Failure” Kästchen -> OK.

    Nachdem du die Richtlinien konfiguriert hast, solltest du den Befehl gpupdate /force ausführen.

    Gruß

    Mihaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 21. Oktober 2019 07:07
    Moderator
  • Hallo Mihaela

    Vielen Dank für deine Antwort.

    Alle Audit Policies sind bereits per GPO aktiviert und Einträge im Security-Eventlog ersichtlich, es werden erfolgreiche wie auch fehlgeschlagene Events aufgelistet.

    Meine Anfrage zielt eher daraufhin ab, weshalb sich das OS (windows 2016) vom ServerB nach einem Reboot, tausendfach versucht über den Maschinen Account "ServerB$", am ServerA anzumelden. Das OS des ServerB speichert  anscheinend die Verbindungsdaten welche vor dem Reboot zum ServerA bestanden haben, und dies im Maschinen Kontext, obwohl Druckerverbindungen doch eher User bezogen sind.

    Ich hoffe ich konnte dies einigermassen verständlich formulieren.

    Besten Dank und Grüsse

    Roland

    Montag, 21. Oktober 2019 13:24