[2003R2] 10+ aan & afmeld meldingen in logboek - Serversoftware en clouddiensten

vrijdag 19 juni 2009 11:36

Acties:

Dutch2007

Topicstarter

Beste Tweakers,

Ik heb het volgende probleem op mijn werkt.

Sinds recent, krijgen wij, een bijna DDOS achtige manier aan aanmeld requests binnen. (some wel 50 per seconde)

de ID's die we in het logboek zien, zijn ID 538, 540 en 576

538 - http://www.ultimatewindow...ia/event.aspx?eventid=538 (gebruiker afmelding)
540 - http://www.ultimatewindow...ia/event.aspx?eventid=540 (Successful Network Logon)
576 - http://www.ultimatewindow...ia/event.aspx?eventid=576 (Special privileges assigned to new logon)

Afmelding van gebruiker:
Gebruikersnaam: DC1$
Domein: Domain
Aanmeldings-id: (0x0,0x4CXXXX)
Aanmeldingstype: 3
Zie Help en ondersteuning op http://go.microsoft.com/fwlink/events.asp voor meer informatie.

Speciale bevoegdheden, toegewezen aan nieuwe aanmelding:
Gebruikersnaam: DC1$
Domein: Domain
Aanmeldings-ID: (0x0,0x4CFB2B)
Bevoegdheden: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege

Zie Help en ondersteuning op http://go.microsoft.com/fwlink/events.asp voor meer informatie.

Aanmelding op het netwerk is voltooid:
Gebruikersnaam: DC1$
Domein: Domain
Aanmeldings-id: (0x0,0xXXXXXXX)
Aanmeldingstype: 3
Aanmeldingsproces: Kerberos
Verificatiepakket: Kerberos
Naam van werkstation:
Aanmeldings-GUID: {4e781824-xxxx-xxxx-xxxx-df0bce6b0b7b}
Gebruikersnaam van aanroeper: -
Domein van aanroeper: -
Aanmeldings-id van aanroeper: -
Proces-id van aanroeper: -
Doorgezette services: -
Netwerkadres van bron: 172.xx.xx.1
Poort van bron: 2855

Zie Help en ondersteuning op http://go.microsoft.com/fwlink/events.asp voor meer informatie.

edit zie dat ik de titel niet volledig had ingevuld, kan dit aangepast worden naar

code:

1	[2003R2] 10+ aan & afmeld meldingen in logboek

bedankt!

[ Voor 3% gewijzigd door Dutch2007 op 19-06-2009 11:37 ]

vrijdag 19 juni 2009 11:51

Acties:

alt-92

ye olde farte

Verplicht leesvoer:
http://www.windowsecurity.com/articles/Logon-Types.html
Distinguishing Windows NT Audit Event Records

Network logon Event ID 528 Type 3
Net Use connection Event ID 528 Type 3
Network logoff Event ID 538 Type 3
Net use disconnection Event ID 538 Type 3
Autodisconnect Event ID 538 Type 3

Dc1$ lijkt een machine account te zijn (replicatie?) van een DC gezien ook het source IP van je logon.

Maar wat wil je precies met je constatering?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 19 juni 2009 12:02

Acties:

Dutch2007

Topicstarter

het probleem lijkt zich spontaan sinds eergisteren te zijn gebeurd, en omdat we op een terminal server netwerk werken, worden mensen hierdoor op vrijwel willekeurige tijdstippen, uitgelogd, vervolgens melden ze zich weer aan, en worden ze door verwezen naar 1 van de 4 terminal servers die het minst druk bezig is.

hierdoor krijgen de mensen de melding dat ze zelf het bestand al open hebben staan, en zit ik de gehele dag, mensen af te melden, omdat ze dubbel aangemeld staan.

vandaag, min of meer de vraag, wat het het probleem zijn? lijkt alsof DC1 met DC1!!!!???? probeer te repliceren?

daar DC1, nml de 1e dc is, en zijn IP het 172.x.x.1 ip adres is. dus het lijkt er haast op dat hij zichtzelf steeds auth, af en aanmeld????

vrijdag 19 juni 2009 14:17

Acties:

alt-92

ye olde farte

Dutch2007 schreef op vrijdag 19 juni 2009 @ 12:02:
het probleem lijkt zich spontaan sinds eergisteren te zijn gebeurd, en omdat we op een terminal server netwerk werken, worden mensen hierdoor op vrijwel willekeurige tijdstippen, uitgelogd, vervolgens melden ze zich weer aan, en worden ze door verwezen naar 1 van de 4 terminal servers die het minst druk bezig is.

hierdoor krijgen de mensen de melding dat ze zelf het bestand al open hebben staan, en zit ik de gehele dag, mensen af te melden, omdat ze dubbel aangemeld staan.

Dat heeft gewoon met een slecht ingerichte TS omgeving te maken.
Session Broker inzetten en zorgen dat de Sessies correct redirected worden.

Maar ik snap nog steeds je gedachtensprong Multiple TS >> errors op je DC niet.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 19 juni 2009 16:12

Acties:

Dutch2007

Topicstarter

alt-92 schreef op vrijdag 19 juni 2009 @ 14:17:
[...]

Dat heeft gewoon met een slecht ingerichte TS omgeving te maken.
Session Broker inzetten en zorgen dat de Sessies correct redirected worden.

Maar ik snap nog steeds je gedachtensprong Multiple TS >> errors op je DC niet.

moah, qua redirection, het zou moeten werken, dit doet het niet altijd, vaak gaat het goed als het de mstsc van microsoft zelf gebruikt, maak je gebruik van een thinclient van in ons geval igel, dan wil het wel eens mis gaan....

gedachte was meer als in, DC is bezig, deed zelfs in 1e instantie ALLE

gebruikers locked zetten (via policy maar ingesteld dat dit maximaal 1 minuut is), en nu met gebruikers die spontaan van een terminal server disconnecten, en dan een 2e (extra dus) connection krijgen toegewezen, stomme is...

Dit systeem draaide al 2 jaar (vrijwel/redelijk) vlekkeloos nu opeens *pats*

vrijdag 19 juni 2009 18:01

Acties:

alt-92

ye olde farte

Zou je dan niet eens wat grondiger gaan onderzoeken?

Komen er bijvoorbeeld ook userlogons op voor?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device