Jump to content

Sehr häufige An- und Abmeldeereignisse

DanielHH

Von DanielHH
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

DanielHH Contributor

DanielHH   10

Geschrieben
Geschrieben

Guten Abend,

 

habe vorhin eine Mail eines Kunden bekommen, mit einem Auszug folgender Events:

 

Ereignistyp:      Erfolgsüberw.
Ereignisquelle:  Security
Ereigniskategorie:         An-/Abmeldung
Ereigniskennung:          538
Datum:             02.04.2007
Zeit:                 16:03:41
Benutzer:                      NT-AUTORITÄT\SYSTEM
Computer:        DC
Beschreibung:
Benutzerabmeldung:
           Benutzername:  DC$
           Domäne:                      BLUBB
           Anmeldekennung:                     (0x0,0x42952BFE)
           Anmeldetyp:     3


Ereignistyp:      Erfolgsüberw.
Ereignisquelle:  Security
Ereigniskategorie:         An-/Abmeldung
Ereigniskennung:          576
Datum:             02.04.2007
Zeit:                 16:03:38
Benutzer:                      NT-AUTORITÄT\SYSTEM
Computer:        DC
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
           Benutzername:  DC$
           Domäne:                      BLUBB
           Anmeldekennung:                     (0x0,0x429526CB)
           Berechtigungen:           SeSecurityPrivilege
                                  SeBackupPrivilege
                                  SeRestorePrivilege
                                  SeTakeOwnershipPrivilege
                                  SeDebugPrivilege
                                  SeSystemEnvironmentPrivilege
                                  SeLoadDriverPrivilege
                                  SeImpersonatePrivilege
                                  SeEnableDelegationPrivilege


Ereignistyp:      Erfolgsüberw.
Ereignisquelle:  Security
Ereigniskategorie:         An-/Abmeldung
Ereigniskennung:          540
Datum:             02.04.2007
Zeit:                 16:03:37
Benutzer:                      NT-AUTORITÄT\SYSTEM
Computer:        DC
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
           Benutzername: DC$
           Domäne:                      BLUBB
           Anmeldekennung:                     (0x0,0x4295202B)
           Anmeldetyp:     3
           Anmeldevorgang:         Kerberos
           Authentifizierungspaket:            Kerberos
           Arbeitsstationsname:   
           Anmelde-GUID: {1b3780fe-d434-4647-c8ad-8ccacc1575c6}
           Aufruferbenutzername:  -
           Aufruferdomäne:          -
           Aufruferanmeldekennung:         -
           Aufruferprozesskennung: -
           Übertragene Dienste: -
           Quellnetzwerkadresse:   192.168.0.100 (IP des DC)
           Quellport:         24317

 

 

Es scheint, als kommen diese Meldungen fast im sekundentakt oder sogar noch öfter. Prinzipiell würde ich mich über solche Meldungen ja nicht wundern, aber in dem Ausmaß? Ist das normal?

 

Zu der Umgebung sei gesagt: Windows2003 Small Business Server, auf dem Exchange und ADS laufen, zusätzlich zu normalen File-Services. Also eigentlich nichts schlimmes.

 

Könnte das der Exchange und / oder die Domänenverwaltung sein, die sich da selbst anmeldet und dass die Ereignisanzeige nur zu empfindlich eingestellt ist?

Ich bin hier grad echt verwirrt.. :confused:

Link zu diesem Kommentar
Gadget Grand Master

Gadget   37

Geschrieben
Geschrieben

Moin,

 

nimm die erfolgreiche Rechte-Verwendung raus dann sollten die Einträge weg sein.

 

Es gibt aber auch nen Hotfix für das Verhalten:

 

System Performance Decreases, and Many Event ID 576 Entries Are Logged to the Security Event Log

 

When you configure an audit policy in Windows Server 2003, your system performance may decrease, and the server may become unresponsive. Additionally, when these symptoms occur, many Event ID 576 entries that are similar to the following are logged to the Security event log

 

Wobei der Hotfix relativ alt ist u. evtl. das Datum deiner "Lsasrv.dll" neuer.

 

Nichtsdestotroz würde ich generell das auditing für erfolgreiche Rechteverwendung deaktivieren, damit sollte das Prob auch schon gelöst sein.

 

LG Gadget

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...