PartyArty 10 Geschrieben 11. Mai 2005 Melden Teilen Geschrieben 11. Mai 2005 Hallo zusammen, in unserem Netzwerk haben wir seit einigen Wochen das seltsame Phänomen, dass manche Accounts nach Anmeldung gesperrt werden. D.h. das Anmelden an sich funktioniert noch, jedoch wird der Account aufgrund von einigen Fehlern scheinbar automatisch gesperrt. Bei mir selbst kam das nun vorgestern und heute vor. Kurz ins AD wieder entsperrt und die Sache läuft wieder...bis zum nächsten Mal. Seltsam war auch, dass bei meinem Account ein Bad Logon um 7:19 eingetragen ist, wobei ich heute erst ca 7:40 angefangen habe. Naja...hier mal ein Auszug aus den Fehlern: LsaSrv (Kat.: SPNEGO (Vermittlung)): Fehler 40960 Das Sicherheitssystem hat einen versuchten Herunterstufungsangriff für den Server cifs/srv1 festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Das Benutzerkonto wurde automatisch gesperrt, da zu viele ungültige Anmeldeversuche oder zu viele ungültige Anforderungen zur Kennwortänderung durchgeführt wurden. (0xc0000234)". Fehler 40961 Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server cifs/srv1 herstellen. Es war kein Authentifizierungsprotokoll verfügbar. Fehler 40690 Das Sicherheitssystem hat einen versuchten Herunterstufungsangriff für den Server cifs/srv2 festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Das Benutzerkonto wurde automatisch gesperrt, da zu viele ungültige Anmeldeversuche oder zu viele ungültige Anforderungen zur Kennwortänderung durchgeführt wurden. (0xc0000234)". Fehler 40961 Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server cifs/srv2 herstellen. Es war kein Authentifizierungsprotokoll verfügbar. So geht's dann weiter mit 6 weiteren Servern (u.a. auch DCs)... Dann kommen noch 2 von Kerberos Fehler 6 The kerberos SSPI package generated an output token of size 33B4 bytes, which was too large to fit in the 2EE0 buffer buffer provided by process id 0. If the condition persists, please contact your system administrator. Fehler 6 The kerberos SSPI package generated an output token of size 33C7 bytes, which was too large to fit in the 33B4 buffer buffer provided by process id 0. If the condition persists, please contact your system administrator. Falls jemand was damit anfangen kann oder direkt eine Lösung weiß... Ich bin in meiner Verweiflung für jede Hilfe dankbar. Die interne Hotline sicher auch :D VG PA Zitieren Link zu diesem Kommentar
schneefalke 10 Geschrieben 28. Oktober 2005 Melden Teilen Geschrieben 28. Oktober 2005 Hy PartyArty, bei mir im Betrieb ist genau das selbe Problem, mit denselben Fehlermeldungen aufgetreten. Bist du inzwischen zu einer Lösung gelangt! *hoff* Würd mich über eine Antwort freuen! Greetz Schneefalke Zitieren Link zu diesem Kommentar
hekmek 10 Geschrieben 31. Oktober 2005 Melden Teilen Geschrieben 31. Oktober 2005 Hallo, da kann ich mich nur anschliessen, das passiert auch bei uns des öfteren. Die Fehlermeldung mit dem versuchten Herunterstufungsangriff habe ich auch. Wir haben das immer auf Novell geschoben (Zugriff nur über cifs) da wir eine sehr heteroge Umgebung haben aber wie ich sehe haben auch andere das Problem. Ich würde mich über Tips zur Fehlerbehebung freuen. Grüße Hekmek Zitieren Link zu diesem Kommentar
Wäscherei 11 Geschrieben 31. Oktober 2005 Melden Teilen Geschrieben 31. Oktober 2005 Wie sieht es mit den Uhrzeiten auf den Kisten aus, Differenzen? Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 31. Oktober 2005 Melden Teilen Geschrieben 31. Oktober 2005 Klingt nach einen Virus - Eine DOS Attacke Zitieren Link zu diesem Kommentar
zahni 562 Geschrieben 31. Oktober 2005 Melden Teilen Geschrieben 31. Oktober 2005 Hatten wir den 40960 nicht neulich ? Befrage bitte mla die Suchfunktion. Vielleicht hilft das. -Zahni Zitieren Link zu diesem Kommentar
PartyArty 10 Geschrieben 2. November 2005 Autor Melden Teilen Geschrieben 2. November 2005 Hi, ...Bist du inzwischen zu einer Lösung gelangt! *hoff*... muss dich leider enttäuschen. Das "Phänomen" kommt immer noch hier und da vor, hat sich aber gebessert. Hab jedoch leider keine Ahnung warum. Ich weiß nur dass ich deswegen nicht mehr gestresst werde und deswegen betrachte ich die Sache für mich als erledigt :D Alle sonstigen Beiträge und Lösungsansätze zu den Fehlern haben nicht um Erfolg geführt. Wie sieht es mit den Uhrzeiten auf den Kisten aus, Differenzen? Nope, definitiv alle gleichgeschalten. Klingt nach einen Virus - Eine DOS Attacke Kann ich ausschließen. Viele Grüße Arty Zitieren Link zu diesem Kommentar
MakaveliHH 10 Geschrieben 2. November 2005 Melden Teilen Geschrieben 2. November 2005 Habt Ihr noch andere Rechner außer Windows? Hört sich nach einem Authentifizierungsproblem an. Vielleicht mal ein Sniffer laufen lassen und herausfinden bei welchem Zugriff der Fehler auftritt. Zitieren Link zu diesem Kommentar
PartyArty 10 Geschrieben 2. November 2005 Autor Melden Teilen Geschrieben 2. November 2005 Habt Ihr noch andere Rechner außer Windows? Hört sich nach einem Authentifizierungsproblem an.Vielleicht mal ein Sniffer laufen lassen und herausfinden bei welchem Zugriff der Fehler auftritt. Hi, ja, wir haben auch andere OSs im Einsatz, jedoch eigentlich nur SLES, AIX und HPUX auf Servern. Authen tun sich nur die Windowskisten. Sniffen ist aufgrund der Netzwerkgröße und des "Zuständigkeitsbereiches" eher schwer. Zitieren Link zu diesem Kommentar
aengel4111 10 Geschrieben 2. November 2005 Melden Teilen Geschrieben 2. November 2005 Schaut mal bitte ob die oder der DNS Server auch wirklich an den Clients sauber eingetragen sind. Schmeißt der DNS Server evtl. auch Fehler oder Warnungen? Andreas Zitieren Link zu diesem Kommentar
catao 11 Geschrieben 10. November 2005 Melden Teilen Geschrieben 10. November 2005 Hallo @ll ich habe das gleiche Probleme und enorme Schwierigkeiten mit dem Zugirff auf unserem Server :( Im Ereignisprotokoll konnte ich folgendes finden: Ereignisanzeige / Anwendung Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskategorie: Keine Ereigniskennung: 1053 Datum: 09.11.2005 Zeit: 15:10:20 Benutzer: NT-AUTORITÄT\SYSTEM Computer: SERVER-Name Beschreibung: Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. ---------------------------------------------------------------------------------------------------- Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskategorie: Keine Ereigniskennung: 1054 Datum: 09.11.2005 Zeit: 15:15:36 Benutzer: NT-AUTORITÄT\SYSTEM Computer: SERVER-Name Beschreibung: Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. Ich habe hier im Forum und über Tante Google gesucht und konnte dafür keine passende Lösung finden. Was mir aufgefallen ist, das seitdem ich diese Meldung bekomme, auch die nachfolgenden Fehler ans Tageslicht gekommen sind. Ereignisanzeige / System Ereignistyp: Warnung Ereignisquelle: W32Time Ereigniskategorie: Keine Ereigniskennung: 14 Datum: 09.11.2005 Zeit: 15:21:08 Benutzer: Nicht zutreffend Computer: SERVER-Name Beschreibung: Der Zeitanbieter "NtpClient" konnte keinen Domänencontroller als Zeitquelle finden. Der Vorgang wird in 30 Minuten wiederholt. ---------------------------------------------------------------------------------------------------- Ereignistyp: Warnung Ereignisquelle: LSASRV Ereigniskategorie: SPNEGO (Vermittlung) Ereigniskennung: 40960 Datum: 09.11.2005 Zeit: 16:05:55 Benutzer: Nicht zutreffend Computer: SERVER-Name Beschreibung: Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server cifs/xxx.xxx.xxx.xxx festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten. Diese beiden letzten Meldungen wechseln sich momentan ab und ich habe keine Ahnung wie ich diese und die Probleme wieder weg bekomme. Ich verzweifel an dem Problem an einem unserer Server bald echt :schreck: Wer hat da eine Idee ??? Gruß René Zitieren Link zu diesem Kommentar
conichi 10 Geschrieben 31. Oktober 2007 Melden Teilen Geschrieben 31. Oktober 2007 Hallo alle, nun die Lösung steht im Prinzip unter http://support.microsoft.com/kb/935744/en-us und http://support.microsoft.com/kb/244474/ Der Registry Einträge müssen auch auf die betroffenen Maschinen angewendet werden. und lauten Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters] "MaxTokenSize"=dword:0000ffff "MaxPacketSize"=dword:00000001 Desweiteren haben andere ähnliche Probleme http://www.derkeiler.com/Newsgroups/microsoft.public.windowsxp.security_admin/2004-04/2484.html Es fanden sich auf etliche Maschinen auf unseren Domain die schon registriert waren entsprechende Warnungen, darum schreibe ich hier die aufgetauchte codes. Kerberos Token size 3E96 too large 2EE0 ; 3E6A auf 3E59 und 3E69 auf 2EE0; 3EA6 auf 3E97 und von 3E97 auf 2EE0. Viel Erfolg. Cristian , working for Bigpoint GmbH hier steht ganz unten auch die Lösung, aber da war zu verstehen, dass nur auf dem DCs zu ändern ist. http://www.eventid.net/display.asp?eventid=1053&eventno=1584&source=Userenv&phase=1 Zitieren Link zu diesem Kommentar
bluecon 10 Geschrieben 14. Juli 2009 Melden Teilen Geschrieben 14. Juli 2009 Hallo, gibt es hierzu noch Informationen/Lösungsvorschläge? Habe auf ca. 10 % meiner Clients die Events 40960/40961 & 1073. Gruß, Adrian Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.