ComputerBase Menü
Aktuelles

Windows Server 2008 R2 Welcher User hat welche IP

Status
Für weitere Antworten geschlossen.
G

Ganzir

Gast
Hallo,

ich suche nach einem Weg zu überprüfen, welcher Benutzer, zu welchem Zeitpunkt welche IP hatte.

Hintergrund ist folgender: Es sieht so aus, als würde ein über VPN zugreifender Benutzer einen Wurm/Virus oder sonst was haben. Da Admin meines Netzwerks kann mir aber nur sagen, dass der Rechner mit IP X zum Zeitpunkt Y versucht hat Verbindung zu Z externen Adressen aufzunehmen.

Das hilft mir aber nicht weiter, weil ich nicht weiß, welcher Benutzer sich hinter welcher IP verbrigt. Hat Windows Server 2008 R2 irgendwo einen Logfile, der mir anzeigt, wann welcher User über VPN angemeldet war und welche IP Adresse ihm vom DHCP zugewiesen wurde?
 
Zuletzt bearbeitet von einem Moderator:
AW: Welcher User hat welche HP

Das ist eigentlich die Aufgabe eures Administartors, und der MUSS in der Lage sein Dir die Fragen zu beantworten! Wenn er dazu nicht in der Lage ist verstehe ich nicht wie der sich "Administrator" schimpfen kann....
 
AW: Welcher User hat welche HP

Das mag ja alles sein, löst aber mein Problem nicht. Ich habe eine IP und suche nun einen Weg herauzufinden, welchem Benutzer diese zum Zeitpunkt X zugeordnet war.
 
AW: Welcher User hat welche HP

Hi,

wird das Standard-VPN benutzt oder Drittanbietersoftware?

VG,
Mad
 
AW: Welcher User hat welche HP

So einfach ist das nicht. Was disk31p erzählt ist zum Beispiel totaler Käse. Im Prinzip hat euer Admin schon recht, in erster Linie greift ein Rechner auf´s Netz zu, kein Nutzer.
Und an dem Punkt stellt sich die Frage ob das in Eurem Netz mitgeloggt wird welcher User sich wann an welchem Rechner eingeloggt hat.

MfG

PS: Wenn Du doch weisst welcher Rechner es war, hast Du nicht die Möglichkeit auf dem betreffenden Rechner lokal einzusehen wer sich wann eingeloggt hat ?
 
Zuletzt bearbeitet:
AW: Welcher User hat welche HP

Leider nicht, da diese Adresse über DHCP vergegeben wurde. Ich vermute, es ist jemand aus dem Home-Office, der sich über VPN anmeldet.

Alle VPN-Verbindungen bekommen vom DHCP ihre IP zugewiesen... daher ist meine einzige Chance herauszufinden, wer es war, wenn es mir gelingt herzufinden, welche USER wann welche IP hatte.

Es wir der Standard VPN, von Windows Server 2008 R2 verwendet und zum Verbinden der Win7 eigene VPN-Client.
 
AW: Welcher User hat welche HP

Um das zu Loggen müsstest Du das DHCP Logging aktiviert haben, das kann man im DHCP Server machen (siehe hier: http://technet.microsoft.com/de-de/library/dd183684(v=ws.10)).

Der DHCP Server loggt aber wohl kaum eine User zu einer entsprechenden IP mit, sondern wohl nur die MAC des Clients.

Eventuell kann aber hierzu auch das ARP Caching (hierzu gibst Du auf dem Server in einer CMD arp-a ein, dann nach der IP suchen) Eures Servers weiterhelfen, wenn die entsprechende IP noch nicht neu vergeben wurde, damit liesse sich zumindest die MAC Adresse des Rechners herausfinden, die normalerweise weltweit eindeutig ist. Damit kann man schonmal versuchen den betreffenden Rechner zu "ermitteln". Da dürfte nur schwierig werden an die MAC Adressen von Privatrechnern heranzukommen.

Schau doch mal in das Sicherheitsprotokoll des Servers, speziell die Anmeldeereignisse, da müssten sich durchaus Hinweise auf User und IP finden, allerdings muss man da ordentlich suchen. Wenn allerdings auch dort nur das Standard-Logging aktiviert ist, wird's vermutlich eng und aussichtslos, da dann schlicht zuwenig geloggt wird.



Grüsse

Gulp
 
Zuletzt bearbeitet: (Ergänzung)
AW: Welcher User hat welche HP

Den Befehl arp-a kennt er leider nicht.
 
AW: Welcher User hat welche HP

typo versuch's mit arp -a ;)

Grüsse

Gulp
 
AW: Welcher User hat welche HP

Was soll daran Käse sein wenn das Aufgabe des Admins ist. Ich kann mich im Büro auch nicht einfach zum Admin befördern und dann am Server rumspielen selbst wenn ich davon Ahnung hätte....:freak:
 
AW: Welcher User hat welche HP

Aufgabe des Netzwerk-Administrators ist nicht administration von Windows-Servern, sondern eben des Netzwerks
 
<-- hat man den Thread-Titel angepasst.
 
Hallo HisN, besten Dank, war mir auch schon aufgefallen, lies sich von mir aber leider nicht bearbeiten.
 
Hi,

Aufgabe des Netzwerk-Administrators ist nicht administration von Windows-Servern, sondern eben des Netzwerks
Zum Vergrößern anklicken....

Da möchte ich aber ganz klar widersprechen und mal Wikipedia zitieren:

Ein Systemadministrator (von lateinischen administrare für „verwalten“; auch Administrator oder (formlos) Admin, Sysadmin, Netzwerkadministrator, Netzwerkverwalter, Netzadministrator, Netzverwalter, Systemmanager, Systemverwalter, Systembetreuer, Operator oder Sysop genannt) verwaltet Computersysteme auf der Basis von umfassenden Zugriffsrechten auf das System.

Systemadministratoren planen, installieren, konfigurieren und pflegen die informationstechnische Infrastruktur (IT-Infrastruktur) eines Unternehmens oder anderer Organisationen. Als Operatoren führen sie die zum laufenden Betrieb der Computeranlagen erforderlichen manuellen Tätigkeiten aus.

Zu den Strukturen in diesem Sinne zählen neben Servern und Arbeitsplatzrechnern auch die zugrundeliegenden Speichersysteme, Netzwerke und Telekommunikationssysteme.
Zum Vergrößern anklicken....

Es hilft zwar dem eigentlichen Problem nicht, aber wenn jemand die Bezeichnung "Admin" möchte hat er - da stimme ich disk31p zu - schon mehr zu können als ein Netzwerkkabel einzustecken, einen Switch anzuschließen und eine Netzwerkfreigabe einzurichten. Und das lass dir mal aus erster Hand gesagt sein ;)

VG,
Mad
 
Nein so ist es eben nicht,

die "Firma" ist so groß, dass es eine Administration gibt, die NUR das Netzwerk macht. die haben mit den Servern überhaupt nichts zu tun.

Ich hingegen administriere den Server von nur einer "Abteilung", daher können die Netzwerk-Admins mir auch nicht weiterhelfen.

Ob das so gut ist oder nicht, steht hier aber überhaupt nicht zur Debatte, da ich an dieser Struktur eh nichts ändern kann.
 
Mal ganz blöd gedacht:
Wenn ich an unsere Firewall/VPN Gateway denke, da kann ich die Logfiles nach der IP durchsuchen und dadurch finden man dann recht schnell den Anmeldenamen raus.

Wird der Anmeldename denn nicht in den Ereignisanzeigen geloggt? Kannst Du das selber mal testen?
Bzw. mal die Ereignisanzeigen nach der IP durchsuchen und dann schauen ob früher/später ein anderes Ereignis aufgezeichnet wird dass passen könnte?
 
Hallo Der Gast,

ich habe die gesamte Server-Adminstration erst kürzlich übernommen und musste feststellen, dass kein einziger Protokollierungsdienst aktiviert war, ... dies habe ich nun geändert. Sollte sich also nochmal was in der Art tun, werde ich Bescheid wissen.
 
Da würde ich aber aufpassen. Bei uns ist das unzulässig, weil man dadurch auf das Arbeitsverhalten von Usern schließen könnte. Der Betriebsrat würde Amok laufen.
 
Hi,

bei uns ebenso. Wäre absolut nicht hinnehmbar, zumindest nicht ohne Rücksprache mit Betriebsrat und Mitarbeitern.

VG,
Mad
 
Da mach dir mal keine Sorgen,

Solange ich Probleme löse, fragt niemand danach, wie ich das gemacht habe.
 
Status
Für weitere Antworten geschlossen.

Ähnliche Themen

N
Probleme mit dem WLAN-Repeater und fixen IP's
2
Antworten
20
Aufrufe
2.957
TCHAMMER
TCHAMMER
DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
326
Mickey Mouse
Mickey Mouse
ChAiN SaW
RaspAP vergibt keine IP Adresse über DHCP
Antworten
11
Aufrufe
5.703
ChAiN SaW
ChAiN SaW
Thunfischsalat
Fritz.Box DHCP-Server vergab auch bekannten Geräten keine IP (DDOS/VIRUS?)
2
Antworten
24
Aufrufe
9.529
prian
prian
memmex
Leserartikel [How-To] Zugriff von außen hinter DoubleNAT / DSLite / Firewall mittels Reverse SSH Tunnel
Antworten
4
Aufrufe
15.096
memmex
memmex
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz