lszts 10 Geschrieben 15. Februar 2010 Melden Teilen Geschrieben 15. Februar 2010 Hallo an alle. Folgende Ereignisse tauchen unter Sicherheit im Ereignisprotokoll ca. 20 mal pro Sekunde auf: "Alles in Klammern hab ich geändert" Ereignistyp: Fehlerüberw. Ereignisquelle: Security Ereigniskategorie: Kontoanmeldung Ereigniskennung: 675 Datum: 15.02.2010 Zeit: 02:47:40 Benutzer: NT-AUTORITÄT\SYSTEM Computer: "Servername" Beschreibung: Fehlgeschlagene Vorbestätigung: Benutzername: "Benutzername" Benutzerkennung: "Domain\Benutzer" Dienstname: krbtgt/"Domain".LOCAL Vorauthentifizierungstyp: 0x2 Fehlercode: 0x12 Clientadresse: 200.3.1.49 Der Anmeldeversuch erfolgt ca. 100 mal mit allen Benutzern die auf diesem Server existieren. Die Clientadresse kann ich weder pingen noch lokalisieren, es gibt scanner die wenigstens ne MAC Adresse ausgeben. Brauche hilfe.... Ich poste hier noch eine Meldung, vll. hilfts: Ereignistyp: Fehlerüberw. Ereignisquelle: Security Ereigniskategorie: Kontoanmeldung Ereigniskennung: 675 Datum: 15.02.2010 Zeit: 02:46:06 Benutzer: NT-AUTORITÄT\SYSTEM Computer: "Servername" Beschreibung: Fehlgeschlagene Vorbestätigung: Benutzername: "Benutzer" Benutzerkennung: "Domain\Benutzer" Dienstname: krbtgt/Domain.LOCAL Vorauthentifizierungstyp: 0x2 Fehlercode: 0x12 Clientadresse: 200.3.1.49 Vielen Dank im voraus, V. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. Februar 2010 Melden Teilen Geschrieben 15. Februar 2010 Hallo und willkommen im Forum, damit können wir leider wenig anfangen. Wo steht denn der Server bzw. iwe ist er angebunden ? Die "200.3.1.49" ist in Venezuela beheimatet. Bei der "Attacke": Welche MAC-Adresse liefert "arp -a" auf dem Server ? Sitmme die MAC-Adresse mit einem anderen Gerät überein, z.B. einem Router ? -Zahni Zitieren Link zu diesem Kommentar
lszts 10 Geschrieben 15. Februar 2010 Autor Melden Teilen Geschrieben 15. Februar 2010 (bearbeitet) Hi, sorry die ip ist ne interne ausm lan mit 200.3.1.* >>Bei der "Attacke": Welche MAC-Adresse liefert "arp -a" auf dem Server ? Da weiss ich jetzt nicht ganz was du meinst, bin nicht so der experte. Wenn ich das netz scanne bekomm ich bei der 200.3.1.49 nur eine MAC angezeigt. Ok. arp -a liefert nichts. die 49 ist nicht in der liste.... >>Sitmme die MAC-Adresse mit einem anderen Gerät überein, z.B. einem Router ? Das wüsste ich auch gern. Gibts ne Methode das rauszufinden? Danke für die Hilfe. bearbeitet 15. Februar 2010 von lszts Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 15. Februar 2010 Melden Teilen Geschrieben 15. Februar 2010 Da weiss ich jetzt nicht ganz was du meinst, bin nicht so der experte. Dann frag ich mich mal was du da an dem Server machst wenn du "nicht so der Experte" bist? Zitieren Link zu diesem Kommentar
lszts 10 Geschrieben 15. Februar 2010 Autor Melden Teilen Geschrieben 15. Februar 2010 Hi, also an dem Server mach ich garnix. Aber wenn wegen des Problems die Benutzerkonten gesperrt werden und ich dieses Problem lösen will dann dachte ich, ich wäre hier richtig.... Also wenn mir jemand sagen könnte wie ich in einem Netzwerk ein "Gerät" finden kann das nur eine MAC Adresse hat dann wäre ich schon ein stück weiter... Eine Sache hab ich grad noch gesehen: Der DSL Router zeigt ab und zu die IP 200.3.1.49 wie der sendet und empfängt.... P.S.: Ich glaube nicht das man ein Experte sein muss um nen DC aufzusetzten und ein Netzwerk zu betreuen. Aber wenn es hilft dann geh mal davon aus das ich einer bin.;-) Gruß V. Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 15. Februar 2010 Melden Teilen Geschrieben 15. Februar 2010 Hallo, wer kam denn auf die Idee eine öffentliche IP Range zu verwenden ? Von welcher Größe sprechen wir denn und welche Mittel ( Layer 3 Switche z.B ) hast du zur Verfügung ? Ansonsten schau doch mal welcher User sich von welchem Gerät anmeldet auf dem Server, vielleicht kommst du damit schon ans Ziel. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. Februar 2010 Melden Teilen Geschrieben 15. Februar 2010 Z.B. den MS Netmon 3.3 am Server installiern und tracen. Aber da braucht man etwas Ahnung. Wie gesagt: Wenn das aktuell auftritt, am Server "arp -a" eingeben. Man kann auch mal den DHCP- oder WINS-Server checken. Vielleicht hat sich ein PC was eingefangen ? Ansonsten: Suche Dir professionelle Hilfe. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. Februar 2010 Melden Teilen Geschrieben 15. Februar 2010 P.S.: Ich glaube nicht das man ein Experte sein muss um nen DC aufzusetzten und ein Netzwerk zu betreuen. Aber wenn es hilft dann geh mal davon aus das ich einer bin.;-) Gruß V. Ich glaube nicht, dass man für eine Blinddarm-OP ein Experte sein muss. Ich gehe dann mal mein Messer schärfen ;) -Zahni Zitieren Link zu diesem Kommentar
lszts 10 Geschrieben 15. Februar 2010 Autor Melden Teilen Geschrieben 15. Februar 2010 Hallo, wer kam denn auf die Idee eine öffentliche IP Range zu verwenden ? Von welcher Größe sprechen wir denn und welche Mittel ( Layer 3 Switche z.B ) hast du zur Verfügung ? Ansonsten schau doch mal welcher User sich von welchem Gerät anmeldet auf dem Server, vielleicht kommst du damit schon ans Ziel. Hi xp-fan, also das Netzwerk war schon vor meine Zeit eingerichtet, weiss also nicht genau. Es sind ca. 30 Rechner (alle xp) 3-4 Switches( Kann Morgen mehr dazu schreiben). Der Server wo die Anmeldeversuche sind ist ein windows 2003 Server als DC. Es gibt noch einen DHCP Server(Windows 2000). Da taucht die Adresse nicht auf. Aufm w2k3 Server bringt der arp -a befehl kein Ergebnis. Wäre es möglich am Switch was zu machen um das Gerät zu finden? Gruß V. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. Februar 2010 Melden Teilen Geschrieben 15. Februar 2010 Wie gesagt, Du musst den ARP-Cache kurz nach dem Ereignis prüfen. Der ARP-Cache leert sich auch wieder... Prüfe in der Dömane mal Deine Sicherheitseinstellungen, z.B. "Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben", siehe Kapitel 5: Sicherheitsoptionen Aber das Einfachste ist Download details: Microsoft Network Monitor 3.3 . Setzt aber ein paar Netzwerk-Kenntnisse voraus. So, ich muß mal nach dem Blinddarm schauen. Den suche ich nähmlich noch... ;) -Zahni Zitieren Link zu diesem Kommentar
lszts 10 Geschrieben 16. Februar 2010 Autor Melden Teilen Geschrieben 16. Februar 2010 Hi Zahni, hab den Rechner gefunden. Es war ein Mitarbeiter der im Moment nur selten da ist aber den Rechner auch mal an lässt. Wenn ich Zeit hab lass ich mal nen Virenscan laufen, aber dann wird der neu aufgesetzt. Wenn ich was finde, poste ich noch das Ergebnis. Danke für die Kopferweiterung.... Hoffe du findest kein Blinddarm ;-) Gruss V. Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 16. Februar 2010 Melden Teilen Geschrieben 16. Februar 2010 Hi, gut das du fündig geworden bist. :) Als ToDo für die nahe Zukunft würde ich mir die öffentliche Range aufschreiben, Umstellung auf private IP Range, z.B 192.168.x.x . Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.