Al een tijdje lang zien we bij ons in de Security logs van een Windows 2003 server dat 1 gebruiker binnen 1 seconde meer dan 20x een logon/logoff bericht verstuurt naar de server. Misschien dat een screenshotje m'n verhaal wat verduidelijkt.

Je ziet dus een groot aantal keer de event id's 538, 540 en 680 langskomen. Als ik die eens van binnen bekijk staat er:
Event ID 538:
Heeft iemand enig idee hoe dit nou kan gebeuren? Ik kan via Google of Microsoft ook eigenlijk helemaal niets vinden, omdat er ook geen echte foutmeldingen staan...
De gebruiker draait op haar systeem Windows XP, mocht dat nog nuttig zijn om te weten.

Je ziet dus een groot aantal keer de event id's 538, 540 en 680 langskomen. Als ik die eens van binnen bekijk staat er:
Event ID 538:
Event ID 540:User Logoff:
User Name: (haar username)
Domain: (Ons domain)
Logon ID: (0x0,0x70585C7)
Logon Type: 3
Event ID 680Successful Network Logon:
User Name: (haar username)
Domain: (Ons domain)
Logon ID: (0x0,0x70585C7)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: (haar werkstation)
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: (haar internet ip-adres)
Source Port: 2540
Ik kan in de logs van de gebruiker niets vinden, en in haar opstart lijst staat ook niets bijzonders. Als ik de errorlogs zo eens langsloop zie ik ook de gebruikers "SYSTEM" en "ANONYMOUS LOGIN" regelmatig langskomen in grote hoeveelheden.Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account: (haar username)
Source Workstation: (haar werkstation)
Error Code: 0x0
Heeft iemand enig idee hoe dit nou kan gebeuren? Ik kan via Google of Microsoft ook eigenlijk helemaal niets vinden, omdat er ook geen echte foutmeldingen staan...
De gebruiker draait op haar systeem Windows XP, mocht dat nog nuttig zijn om te weten.
[ Voor 7% gewijzigd door Hmail op 27-02-2006 13:09 ]
It might sound as if I have no clue what I'm doing, but I actually have a vague idea.