nerd 28 Geschrieben 2. Februar 2005 Melden Geschrieben 2. Februar 2005 Hi, ich stehe gerade mit einem Kollegen vor einem echt komischen Problem. Das ganze sieht wie folgt aus: Zwei Sorten von 529er Events (unbekannter username oder falsches PW): Es versucht immer der gleiche Account von der gleichen WS, auf verschiedene Server zuzugreifen. Das erste Event tritt relativ häufig auf, das zweite (mit der IP-Adresse) nur bei einigen Servern (alle W2k, selbe AD-Domain). 1.: Time: Fri Jan 14 05:35:20 2005 User: xxx Agent: xxx Source: Security ID: 529 Type: Failure Audit Logon Failure: Reason: Unknown user name or bad password User Name: xxx Domain: xxx Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: xxx 2.: Time: Fri Jan 14 05:35:20 2005 User: xxx Agent: xxx Source: Security ID: 529 Type: Failure Audit Logon Failure: Reason: Unknown user name or bad password User Name: xxx Domain: xxx Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: xxx Caller User Name: - Caller Domain: - Caller Logon ID: - Caller Process ID: - Transited Services: - Source Network Address: xx.xx.xx.xx Source Port: 0 Warum gibt's mal eine Sorte, mal die andere Sorte Events??? Wir konnten einfach keine richtige Erklärung dafür finden - hat jemand von euch eine Idee? Gruß Zitieren
wimpex 10 Geschrieben 2. Februar 2005 Melden Geschrieben 2. Februar 2005 Moin! Vielleicht hilft das hier weiter: http://www.eventid.net/display.asp?eventid=529&eventno=1&source=Security&phase=1 mfg wimpex Zitieren
nerd 28 Geschrieben 2. Februar 2005 Autor Melden Geschrieben 2. Februar 2005 Hi, den Fehler an sich kenne ich auch seinen Grund etc. Was uns etwas Ratlos werden lässt ist der blau markierte Bereich, der nur bei bestimmten Systemen auftaucht - wir suchen den Grund dafür warum diese "Zusatzinformationen" hier ausgegeben werden. Gruß Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.