Dormelchen 10 Geschrieben 8. Mai 2008 Melden Teilen Geschrieben 8. Mai 2008 Hallo, bekomme seit Wochen Logon Failures. Logon Failure: Reason: Unknown user name or bad password User Name: admin1 Domain: XYZXYZ Logon Type: 3 Logon Process: Advapi Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Workstation Name: XYZXYZ Account Used for Logon by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Account Name: admin1 Workstation: XYZXYZ Das ganze passiert 14 mal Unser Tivoli meldet diese Verstöße - so bin ich drauf aufmerksam geworden. Ich weiss aber nicht wo ich suchen soll. Kein Dienst wird mit diesem User gestartet. Es gibt ihn lokal - das Passwort das der lokale User admin1 hat ist ok, will sagen wurde nicht geändert in den letzten Monaten. Da es immer zu dieser Uhrzeit passiert wollte ich fragen obs ne Möglichkeit oder ein Tool gibt wo ich sehen kann WOHER der Anmeldeversuch kommt. Ich weiß einfach nicht mehr weiter. Vielen DAnk Zitieren Link zu diesem Kommentar
RanCyyD 10 Geschrieben 8. Mai 2008 Melden Teilen Geschrieben 8. Mai 2008 Workstation Name: XYZXYZ Gibts so einen Client bei Euch? Zitieren Link zu diesem Kommentar
Dormelchen 10 Geschrieben 8. Mai 2008 Autor Melden Teilen Geschrieben 8. Mai 2008 ich hab den jetzt einfach mal so genannt. Zitieren Link zu diesem Kommentar
RanCyyD 10 Geschrieben 8. Mai 2008 Melden Teilen Geschrieben 8. Mai 2008 War mir schon klar, aber was ist denn auf dieser Workstation? Gibts die noch? Zitieren Link zu diesem Kommentar
Dormelchen 10 Geschrieben 8. Mai 2008 Autor Melden Teilen Geschrieben 8. Mai 2008 Ist ein Windows 2003 Server Auf dem einiges rumwuselt an Anwendungen und Jobs. Nur werden diese unter dem Sys Account ausgeführt und die Dienste. Es laufen keine Anwendungen mit diesem "admin1" im Taskmanager... Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 13. Mai 2008 Melden Teilen Geschrieben 13. Mai 2008 Hallo, Da es immer zu dieser Uhrzeit passiert wollte ich fragen obs ne Möglichkeit oder ein Tool gibt wo ich sehen kann WOHER der Anmeldeversuch kommt. Mit einem Netzwerktrace auf dem DC (evtl. allen DCs) z.B. mit Wireshark: Go deep. müsste man es sehen können. cu blub Zitieren Link zu diesem Kommentar
Bakemono 10 Geschrieben 13. Mai 2008 Melden Teilen Geschrieben 13. Mai 2008 Ich werd aus der Beschreibung nicht ganz schlau. Workstation: XYZXYZ ist ein aktiver Win2003 Server mit laufenden Prozessen? Oder tatsächlich ein ArbeitsPC? User Name: admin1 ist ein tatsächlich existierender von Dir oder anderen eingerichteter Acc mit Adminrechten? Falls nicht könntet Ihr Euch ein Schadprogramm eingefangen haben. Ich kenne Tivoli nicht, das ist vmtl. die SW von IBM? Kann es sein das der Acc admin1 auf Workstation: XYZXYZ einen Scan/Service ausführen soll? Hat der Acc admin1 eine Aufgabe, wie zB einen Useracc der nur als BackupMaster dient? Logon type 3 beschreibt in der Regel eine Netzwerkanmeldung durch einen Dienst, Drucker oder Zugriff auf Freigegebene Ordner. Ist also zB. ein Drucker deinstalliert, umbenannt worden oder hat eine neue IP bekommen? Ist eine Freigabe geändert worden in die ein Prozess zB Protokolle schreiben will? Näheres zu den LogOn Meldungen unter: Logon Type Codes Revealed <Vorsicht, Englisch :D> Zitieren Link zu diesem Kommentar
Dormelchen 10 Geschrieben 13. Mai 2008 Autor Melden Teilen Geschrieben 13. Mai 2008 Hallo, ja ist ein aktiver Win2k3 Server Der User admin1 existiert wirklich auf diesem System - lokaler Admin. Wie gesagt - ich weiß nicht was der admin1 macht - also auf diesem System. Es laufen keine Dienste unter diesem Account - auch nichts mehr im Task Manager. Dennoch bekomm ich die Meldung täglich um 16.xx Uhr. Logon type 3 beschreibt in der Regel eine Netzwerkanmeldung durch einen Dienst, Drucker oder Zugriff auf Freigegebene Ordner. Ist also zB. ein Drucker deinstalliert, umbenannt worden oder hat eine neue IP bekommen? Ist eine Freigabe geändert worden in die ein Prozess zB Protokolle schreiben will? Ist die Meldung nicht so zu verstehen das dieser admin1 lokal versucht sich anzumelden von dem Server aus selbst ? Nicht vom Netz aus ? Der admin1 ist nur ein lokaler User - nicht in der Domäne. Drucker sind keine installiert / waren auch keine Shares gibts einige - sind aber nur AD Gruppen berechtigt drauf. Bin etwas ratlos Zitieren Link zu diesem Kommentar
Bakemono 10 Geschrieben 13. Mai 2008 Melden Teilen Geschrieben 13. Mai 2008 Wenn das immer nur um 16h passiert deutet das schon auf einen Prozess oder Task hin. Evtl ist dieser admin1 ja von einem Programm als "Dummy" Konto errichter worden der NUR für diese Aufgabe gebraucht wird. Wenn das dann auf Maschinenebene -richtlinie geschieht muss ja auch kein Nutzer angemeldet sein. Eine einfache, und in derzeitiger Ermangelung des Wissen eines Tools :rolleyes:, kannst Du Dich ja mal kurz vor 16h auf der Maschine als Admin einloggen und dann per Prozessviewer, ggf. von den Sysinternals, mit eigenen Augen beobachten was sich tut. Vlt geht da ein Prozess auf der vorher nicht aktiv war, oder die Auslastung steigt an. Immerhin versucht sich da ja etwas vielfach einzuloggen, evtl reicht die Zeit. ODER, falls das Eure Firmenrichtlinien zulassen. Nimm Dir einen Netzwerkscanner und Protokolliere die Zugriffe. Anhand der Uhrzeit, +/- 5 Minuten, der bekannten IPs und Accounts sollte das gut zu filtern sein. Vielleicht kannst Du aus den Logdaten Hinweise finden für welches Programm oder auf welchen Port zugegrifffen werden will. Obwohl, geht ja hier mehr um die Anmeldung und ggf. greift er/sie/es nicht direkt zu. Aber al überraschen lassen. Zitieren Link zu diesem Kommentar
Dormelchen 10 Geschrieben 13. Mai 2008 Autor Melden Teilen Geschrieben 13. Mai 2008 ich probiers erst mal mit dem Login. Eventuell finde ich schon was - ansonsten muss ich eben mit nem Tool was herausfinden - bzw beantragen es nutzen zu dürfen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.