ADS Event log Event 529

[nerd 28]

Hi,

 

ich stehe gerade mit einem Kollegen vor einem echt komischen Problem. Das ganze sieht wie folgt aus:

 

Zwei Sorten von 529er Events (unbekannter username oder falsches PW):

Es versucht immer der gleiche Account von der gleichen WS, auf verschiedene Server zuzugreifen.

Das erste Event tritt relativ häufig auf, das zweite (mit der IP-Adresse) nur bei einigen Servern (alle W2k, selbe AD-Domain).

 

1.: Time: Fri Jan 14 05:35:20 2005 User: xxx Agent: xxx Source: Security ID: 529 Type: Failure Audit Logon Failure: Reason: Unknown user name or bad password User Name: xxx Domain: xxx Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: xxx

 

2.: Time: Fri Jan 14 05:35:20 2005 User: xxx Agent: xxx Source: Security ID: 529 Type: Failure Audit Logon Failure: Reason: Unknown user name or bad password User Name: xxx Domain: xxx Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: xxx Caller User Name: - Caller Domain: - Caller Logon ID: - Caller Process ID: - Transited Services: - Source Network Address: xx.xx.xx.xx Source Port: 0

 

Warum gibt's mal eine Sorte, mal die andere Sorte Events???

 

Wir konnten einfach keine richtige Erklärung dafür finden - hat jemand von euch eine Idee?

 

Gruß

[wimpex 10]

Moin!

 

Vielleicht hilft das hier weiter:

 

http://www.eventid.net/display.asp?eventid=529&eventno=1&source=Security&phase=1

 

mfg

wimpex

[nerd 28]

Hi,

 

den Fehler an sich kenne ich auch seinen Grund etc. Was uns etwas Ratlos werden lässt ist der blau markierte Bereich, der nur bei bestimmten Systemen auftaucht - wir suchen den Grund dafür warum diese "Zusatzinformationen" hier ausgegeben werden.

 

Gruß