morphium 10 Geschrieben 26. September 2011 Melden Teilen Geschrieben 26. September 2011 Hallo, auf unserem zweiten DC (W2k8 32-bit) läuft zur Zeit die Ereignisanzeige voll. Innerhalb von ~2,5 Stunden wurde ~1300 neue Ereignisse geschrieben. Eine Minute sieht in etwa wie folgt aus: 13:21:23 Überwachung erfolgreich Ereignis-ID: 4624 Aufgabenkategorie: Anmelden13:21:23 Überwachung erfolgreich Ereignis-ID: 4634 Aufgabenkategorie: Abmelden 13:21:27 Überwachung erfolgreich Ereignis-ID: 4672 Aufgabenkategorie: Spezielle Anmeldung 13:21:27 Überwachung erfolgreich Ereignis-ID: 4624 Aufgabenkategorie: Anmelden 13:21:37 Überwachung erfolgreich Ereignis-ID: 4634 Aufgabenkategorie: Abmelden 13:21:47 Überwachung erfolgreich Ereignis-ID: 4672 Aufgabenkategorie: Spezielle Anmeldung 13:21:47 Überwachung erfolgreich Ereignis-ID: 4624 Aufgabenkategorie: Anmelden 13:21:47 Überwachung erfolgreich Ereignis-ID: 4634 Aufgabenkategorie: Abmelden 13:21:47 Überwachung erfolgreich Ereignis-ID: 4672 Aufgabenkategorie: Spezielle Anmeldung 13:21:47 Überwachung erfolgreich Ereignis-ID: 4624 Aufgabenkategorie: Anmelden 13:21:47 Überwachung erfolgreich Ereignis-ID: 4634 Aufgabenkategorie: Abmelden 13:21:49 Überwachung erfolgreich Ereignis-ID: 4624 Aufgabenkategorie: Anmelden Auf dem ersten DC gibt es solche Einträge nicht. Über eine Richtlinie werden alle erfolgreichen und fehlgeschlagenen Anmeldungen mitgeplottet. Der Anmeldetyp ist immer 3, also Netzwerkanmeldung. Als Antiviren-Software wird Symantec Endpoint Protection 11 eingesetzt. Kann jemand was mit den Ereignis-ID'n anfangen? Zitieren Link zu diesem Kommentar
morphium 10 Geschrieben 27. September 2011 Autor Melden Teilen Geschrieben 27. September 2011 *push* Keiner eine Idee? Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 27. September 2011 Melden Teilen Geschrieben 27. September 2011 Deaktiviere mal am Virenscanner (insbesondere an den Clients) die Option "Netzlaufwerke scannen". Steht da nichts genaueres im Log? Z.B. Benutzername, Client oder zumindest eine IP? Zitieren Link zu diesem Kommentar
morphium 10 Geschrieben 30. September 2011 Autor Melden Teilen Geschrieben 30. September 2011 Guten Morgen, danke für den Tipp, werde ich die nächsten Tage ausprobieren. Habe jetzt erst einmal die Richtlinie dementsprechend angepasst, dass keine erfolgreichen Anmeldungen an dem DC mitgeplottet werden. Zitieren Link zu diesem Kommentar
Purecut 10 Geschrieben 20. Oktober 2011 Melden Teilen Geschrieben 20. Oktober 2011 @morphium bist zu bei deinem Problem weitergekommen? Ich habe auf einem 2008 R2 genau die selben Fehler. 4672, 4624, 4634. Über 2500 Einträge pro Tag. Ich setze auch SEP ein. Eine Deaktivierung von Netzwerkscannen brachte leider auch nicht den Erfolg. Für jeden Hinweis, Tip - Danke. Zitieren Link zu diesem Kommentar
morphium 10 Geschrieben 21. Oktober 2011 Autor Melden Teilen Geschrieben 21. Oktober 2011 Siehe #4. Ich habe die beiden DCs aus der Richtlinie genommen, die die erfolgreichen Anmeldeversuche und -ereignisse mitplottet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.