"Berserk" innlogging

11 innlegg i emnet

Skrevet

Har nyligt oppgradert NT4 domenet mitt til 2000 ActiveDirectory. Alt fungerer grett, men ser i Event Viewer'en på Security at eg får ekstremt mange innlogginger. På under et døgn har eg fått inn over 2500 poster her, og det er kun på den ene av to AD servere. Den andre oppfører seg tilsvarende. Postene består hovedsaklig av EventID 540 (logon) og EventID 538 (logoff). Eg får gjerne 5-6 slike meldinger i slengen som gjelder samme brukernavn, maskinnavn (maskinnavn$), system eller annonymous logon.

Her er et lite utdrag fra Security loggen:

 


Success Audit - 03.11.2003 - 17:12:21 - Security - Logon/Logoff  - 540 - ost - ANDROMEDA


Success Audit - 03.11.2003 - 17:12:21 - Security - Logon/Logoff  - 540 - ost - ANDROMEDA


Success Audit - 03.11.2003 - 17:12:21 - Security - Logon/Logoff  - 538 - ost - ANDROMEDA


Success Audit - 03.11.2003 - 17:12:21 - Security - Logon/Logoff  - 540 - ost - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:46 - Security - Logon/Logoff  - 538 - SYSTEM - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:40 - Security - Logon/Logoff  - 538 - GAO$ - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:33 - Security - Logon/Logoff  - 538 - ANONYMOUS LOGON - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:33 - Security - Logon/Logoff  - 538 - DAFFY$ - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:33 - Security - Logon/Logoff  - 540 - DAFFY$ - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:33 - Security - Logon/Logoff  - 538 - DAFFY$ - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:33 - Security - Logon/Logoff  - 540 - DAFFY$ - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:29 - Security - Logon/Logoff  - 538 - GAO$ - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:29 - Security - Logon/Logoff  - 538 - GAO$ - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:29 - Security - Logon/Logoff  - 540 - GAO$ - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:29 - Security - Logon/Logoff  - 540 - GAO$ - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:29 - Security - Logon/Logoff  - 540 - GAO$ - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:29 - Security - Logon/Logoff  - 540 - GAO$ - ANDROMEDA


Success Audit - 03.11.2003 - 17:11:15 - Security - Logon/Logoff  - 538 - ANONYMOUS LOGON - ANDROMEDA


Success Audit - 03.11.2003 - 17:10:45 - Security - Logon/Logoff  - 538 - SYSTEM - ANDROMEDA


Success Audit - 03.11.2003 - 17:10:45 - Security - Logon/Logoff  - 538 - SYSTEM - ANDROMEDA


Success Audit - 03.11.2003 - 17:10:45 - Security - Logon/Logoff  - 538 - SYSTEM - ANDROMEDA


Success Audit - 03.11.2003 - 17:10:45 - Security - Logon/Logoff  - 540 - SYSTEM - ANDROMEDA


Success Audit - 03.11.2003 - 17:10:45 - Security - Logon/Logoff  - 540 - SYSTEM - ANDROMEDA


Success Audit - 03.11.2003 - 17:10:44 - Security - Logon/Logoff  - 540 - SYSTEM - ANDROMEDA


Success Audit - 03.11.2003 - 17:10:44 - Security - Logon/Logoff  - 540 - SYSTEM - ANDROMEDA


Success Audit - 03.11.2003 - 17:09:37 - Security - Logon/Logoff  - 538 - ANONYMOUS LOGON - ANDROMEDA


Success Audit - 03.11.2003 - 17:09:35 - Security - Logon/Logoff  - 538 - SYSTEM - ANDROMEDA

Legg merke til det korte tidsrommet til postene. Heile loggen er full av slike inn og utlogginger. Det første eg tenkte på, var dårlig nettverkskort, men dette gjelder begge AD serverene mine. Kjangsen for at samme problem skal oppstå på to forskjellige servere med forskjellig hardware er ikkje så stor. Kan eg ha gjort noe feil i oppsettet til AD? Har ikkje konfigurert så mye, så dei fleste instillingene er "out of the box".

Kan noen se prolemet eller komme med gode forslag?

René :huh:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

regner med at du har satt disse to serverne som promær og sekundær DC?

ser faktisk ut som om du ikke har gjort det, men det er bare en tanke.....litt mer info om serveroppsettet hadde vært greit

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Er ikkje alle serverene likestilte i ett AD nettverk da? Den ene er vel og merke Global Catalog, om det er det du meiner. Oppsettet er som følger:

Server 1 er en ren AD server med DHCP, DNS og WINS. Denne er også Global Catalog server.

Server 2 er filserveren vår. Kjører også som AD for backup.

Har også en NT4 BDC som snart skal ut av nettet, slik at eg kan gå over til Native Mode.

Reint bortsett fra dette har eg ikkje gjort dei store endringene fra default. Har fjernet den midlertidige serveren eg brukte til å oppgradere fra NT4 domene til AD. Brukte dcpromo til å fjerne den.

Ellers noe info som mangler?

René :)

[ Meldingen ble redigert 05.11.2003 08:52 av Dionysos ]

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

det jeg tenkte på var hvordan oppsettet for domenekontroller er.

sett server 1 som primær domenekontroller og server 2 som sekundær domenekontroller.

Jeg ser på loggen din, og det ser ut som om serverne replikerer hverandres logg.

Success Audit - 03.11.2003 - 17:12:21 - Security - Logon/Logoff  - 540 - ost - ANDROMEDA

Success Audit - 03.11.2003 - 17:12:21 - Security - Logon/Logoff  - 540 - ost - ANDROMEDA

Success Audit - 03.11.2003 - 17:12:21 - Security - Logon/Logoff  - 538 - ost - ANDROMEDA

Success Audit - 03.11.2003 - 17:12:21 - Security - Logon/Logoff  - 540 - ost - ANDROMEDA

server 1 mottar info(login/logoff), samme gjør server 2.

server 1 sender info til server 2, samme veien tilbake, server 2 sender tilbake til server1(replikering). og slik går det videre, slik at all info blir replikert.

Har du satt opp serverne til replikering?

det eneste jeg syns er rart er at etter logon/logoff kommer ID 540, men i tredje linje kommer ID 538, og ikke replikering av det.

En annen ting jeg kom til å tenke på, er at kanskje det blir logget hva brukeren gjør i nettverket og ute på nettet, og at info derfra blir behandlet til loggen.

Lettere foklart: forklaringen på anonymous logon - andromeda.

Skal se litt på loggen her, og se om jeg kan finne ut noe, men sjekk først etter domenekontroller(DC) og replikering

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Takker for at noen bryr seg :)

Finnes det noe som heiter primær og sekundær domenekontrollere i AD da? Trudde man hadde avskaffet det systemet som NT hadde med PDC og BDC. Meiner du Global Catalog? Hvis ikkje, hvordan setter eg innstillingene på primær og sekundær da?

Når det gjelder replikering, så er dette urørt. Har to AD servere, og begge er satt opp til å replikere en gang i timen heile uka. Finnes det noen innstillinger for replikering av logininfo? Evt. hvor?

René :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Er riktig at AD ikke har PDC/BDC, alle er likeverdige. Men noen funksjoner som GC og Schema er det kun 1 av, disse kan du flytte eller kopiere til andre DC med Active Directory Sites i Administrative Tools.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Men noen funksjoner som GC og Schema er det kun 1 av, disse kan du flytte eller kopiere til andre DC med Active Directory Sites i Administrative Tools.

du kan ha multipe gc i samme domene,

alle domener i samme forrest delser samme skjema, og skjema replikeres til alle dcer. Men er kun en dc som kan gjøre endringer i skjema, henholdsvis den dc som inneholder skjema master rollen. Man kopierer ikke fsmo roller, men forflytter disse eller forcer en overtagelse.

[ Meldingen ble redigert 07.11.2003 21:46 av exchange ]

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

regner med at du har satt disse to serverne som promær og sekundær DC?  

ingenting som heter dt i et ad domene.

Dersom du har flere enn en dc i et domene, skal global catalog ikke ligger på samme dc som innehar infrastruktur master rollen.

Skjekk ut at så ikke er tilfelle...

[ Meldingen ble redigert 07.11.2003 21:45 av exchange ]

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Dersom du har flere enn en dc i et domene, skal global catalog ikke ligger på samme dc som innehar infrastruktur master rollen.  

Skjekk ut at så ikke er tilfelle...

Ehh... Hva er "infrastruktur master rolle"? Har satt en DC til Global Catalog (har fjernet den maskina som opprinnelig var GC). Er det noe mere som må gjøres? Evt. hvor?

Nå blei eg meir forvirra enn eg var i utgangspunktet :huh:

René :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Dersom du har flere enn en dc i et domene, skal global catalog ikke ligger på samme dc som innehar infrastruktur master rollen.  

Mente primær...ikke promær. men du forsto jo hva jeg mente :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive