Jump to content

Ereigniskennung: 675 krbtgt

Alveran

Von Alveran
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Alveran Explorer

Alveran   10

Geschrieben
Geschrieben

Seit ein paar Tagen habe ich das Problem das ich genau aller Stunde ca 10 mal folgenden eintrag unter Ereignisanzeige/Sicherheit finde.

 

Fehlgeschlagene Vorbestätigung:

Benutzername: Administrator

Benutzerkennung: xxxx\Administrator

Dienstname: krbtgt/xxxx

Vorauthentifizierungstyp: 0x2

Fehlercode: 0x18

Clientadresse: 127.0.0.1

 

Habe den Server schon mehrmals neugestartet. Ohne Erfolg. Es muß irgendein Dienst sein der sich versucht zu starten. Habe irgendwie die Vermutung das das Kerberosticket hin ist.

Wenn sich ander nutzer Anmelden kommt diese Meldung auch. Ansonsten läuft der Server normal.

olc Veteran

olc   18

Geschrieben
Geschrieben

Hi,

 

hast Du unter Umständen vor einiger Zeit (zu Beginn des Fehlers) einmal das Kennwort des Administrators geändert? Sind eventuell Dienste oder Programme installiert worden? Ist im Credential Manager vielleicht ein falsches Kennwort für den Administrator hinterlegt?

 

Sollte das nicht der Fall sein, könnte es im schlimmsten Fall ein kürzlich ausgebrochener Wurm sein, siehe Aktives Verzeichnis Blog : Diverse Benutzerkonten haben plötzlich einen Account Lockout

 

Prüfe das doch einmal zur Sicherheit gegen.

 

Ist wie gesagt nur der Extremfall - es gibt eine ganze Menge anderer möglicher Gründe für eine solche Meldung. Sind vielleicht Fehlermeldungen in den Eventlogs (Application / SYSTEM) zu finden?

 

Viele Grüße

olc

Alveran Explorer

Alveran   10

Geschrieben
  • Autor
Geschrieben

Hallo,

der Tip scheint gut. Ich habe das Passwort des Administrators geändert. Was ist der Credential Manager?

Und nochmal ja ich hatte den Wurm. Ist aber zum Glück runter und die Sicherheitslücke geschlossen.

Also der Wurm führt die Atacken nicht aus. Das sah anders aus, und war permanent und die accounts wurden gesperrt.

Jetzt bekomme ich nur die 675 Meldung genau aller Stunde ab Serverstart.

Accounts bleiben offen.

Necron Grand Master

Necron   71

Geschrieben
Geschrieben

Und nochmal ja ich hatte den Wurm. Ist aber zum Glück runter und die Sicherheitslücke geschlossen.

Ehrlich gesagt, wenn ein Wurm auf dem Server war, würde ich eine Neuinstallation in Erwägung ziehen. Nur so kann man 100% sicher sein, dass man wieder ein sauberes System hat!

olc Veteran

olc   18

Geschrieben
Geschrieben

Hi,

 

der Tip scheint gut. Ich habe das Passwort des Administrators geändert. Was ist der Credential Manager?

 

Schau einmal mittels Start --> Ausführen --> "control keymgr.dll", ob etwas hinterlegt ist.

 

Und nochmal ja ich hatte den Wurm. Ist aber zum Glück runter und die Sicherheitslücke geschlossen.

 

Mh, habe ich das überlesen oder hattest Du es gar nicht geschrieben?

 

Also der Wurm führt die Atacken nicht aus. Das sah anders aus, und war permanent und die accounts wurden gesperrt.

 

War ja auch erst einmal ein Ansatz, nicht die Komplettlösung... ;)

 

Ehrlich gesagt, wenn ein Wurm auf dem Server war, würde ich eine Neuinstallation in Erwägung ziehen. Nur so kann man 100% sicher sein, dass man wieder ein sauberes System hat!

 

Sehe ich im Grunde auch so - ist nur leider in solchen Umgebungen oftmals nicht so "einfach". Wobei man hier dann abwägen sollte, wie teuer und aufwändig ein Schädlingsbefall langfristig werden kann (Produktionsausfall, Schadenersatz, Haftung etc.). Aber gut, das entscheidet der TO selbst. :wink2:

 

Kann man erstmal irgendwie rausfinden welcher dienst sich da überhaupt einloggen will. Außer das es von 127.0.0.1 kommt?

 

Einen Ansatz findest Du in dem oben verlinkten Artikel - die Account Lockout Tools.

 

Ansonsten kann man es mit dem Process Tracking versuchen, aber ich denke, das solltest Du für den Moment lassen; das ist nicht ganz so einfach und vielleicht gar nicht notwendig. Prüfe auch einmal alle Dienste, ob einer oder einige davon unter dem Administrator Account laufen - ggf. ist hier nach dem Kennwortwechsel also auch Handarbeit angesagt.

 

Viele Grüße

olc

olc Veteran

olc   18

Geschrieben
Geschrieben

Hi Alveran,

 

1.in control keymgr.dll ist nichts hinterlegt. (komplett lehr)

 

Ok.

 

2.hatte ich in dem vorherigen post geschrieben, egal

 

Nein, Du hattest es das erste Mal in dem zitierten Abschnitt "erwähnt", daher die Nachfrage. "Aber egal". ;)

 

5.Process Tracking, was muß ich dazu machen?

 

Hast Du denn schon einmal wie angesprochen nach den Diensten geschaut und die Account Lockout Tools (siehe oben) eingesetzt? Das ist in jedem Fall besser als das Process Tracking.

 

Falls Du es trotzdem unbedingt versuchen möchtest: Audit process tracking: Security Configuration Editor; Security Services

 

Viele Grüße

olc

Alveran Explorer

Alveran   10

Geschrieben
  • Autor
Geschrieben

Hallo,

ja nach den diensten hab ich schon geschaut, Läuft nur einer unter Administrator und der hat auch das richtige Passwort. Hab den dienst mal deaktiviert, fehler ist weiterhin aufgetreten.

 

Account Lockout Tools hab ich jetzt mal drauf gemacht. Was muß ich da jetzt einstellen um was zu erkennen?

 

mfg

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...