ComputerBase Menü
Aktuelles

Nicht zuzuordnendes Event 4771 auf Domaincontroler

CharlieScene

CharlieScene

Lt. Junior Grade
Registriert
Juli 2016
Beiträge
382
Moin zusammen!
Ich habe vor circa einem Jahr nen neuen Job angetreten. Zu diesem Zeitpunkt gab es EINEN zentralen Administratoraccount in der Domäne. Ein vernünftiges Admin-Tiering stand bei mir weit oben auf der Liste.
Also sämtliche Skripte, Services, connections usw. angepasst und auf dedizierte Serviceaccounts umgebogen; der 'superadmin' wird nun nicht mehr genutzt und bleibt nur als "Fallback". So weit, so gut.
Eine Sache macht mir allerdings noch Probleme und fürchte, ich brauch da mal externe Meinungen:
Der 'superadministrator' wird unregelmäßig in der AD gesperrt. Das Eventlog des DC zeigt in diesem Zusammenhang die Eventmeldung 4771 mit 0x18 Fehlercode (Deutet meines Wissens nach auf fehlerhafte Usercredentials hin). Als Clientadresse wird ::1 angezeigt - spricht für mich also für einen Dienst / Service oder was weiß ich, ausgehend vom 'localhost', also dem DC selbst.

Ich hab etliches mehrfach geprüft: Taskscheduler, Dienste etc. etc.

Hat jemand von euch eine Idee wo ich noch gucken sollte, kennt ein Tool o.Ä um sowas zu erleichtern?

Danke für jeglichen Input!
Beste Grüße,
Charlie
 
Backup eventuell?

Grüsse

Gulp
 
Gulp schrieb:
Backup eventuell?
Zum Vergrößern anklicken....
Guter Tipp - kann ich leider schon ausschließen. Habe sogar den Agent für die Backups neu installiert, ohne Erfolg.

Gruß
 
Hast du das PW vom entsprechenden Account schon geändert? Dann wirst du ja schnell merken was nicht mehr läuft.
 
Tamron schrieb:
Hast du das PW vom entsprechenden Account schon geändert? Dann wirst du ja schnell merken was nicht mehr läuft.
Zum Vergrößern anklicken....
Passwort ist bereits seit ~4 Wochen geändert - soweit ich das sehen kann läuft alles..
 
  • Gefällt mir
Reaktionen: CharlieScene und T3Kila
Vielleicht vom DHCP das DNS Dynamic Update? Weiß aus Leid oller Erfahrung, dass das nicht unbedingt schnell auffallen muss
 
  • Gefällt mir
Reaktionen: CharlieScene
CharlieScene schrieb:
Passwort ist bereits seit ~4 Wochen geändert - soweit ich das sehen kann läuft alles..
Zum Vergrößern anklicken....
Das wird der Grund für das Problem sein. Irgendein Dienst läuft wohl noch mit dem alten Adminpasswort.
 
Wollte die Thematik auch noch angehen. Ähnliche Ausgangslage. Leider noch nicht dazu gekommen. In meinem Fall muss ich den Rest der Abteilung noch davon überzeugen, aber das soll wohl irgendwie zu machen sein.

Hast du ein paar Tipps für Best Practices oder ähnliches? Oder bist du einfach nach Gefühl vorgegangen?

Zu deinem Problem fällt mir leider auch nicht mehr ein, als das bereits genannte. Grundsätzlich bist du da aber auf der richtigen Spur würde ich mal sagen.
 
  • Gefällt mir
Reaktionen: CharlieScene
Mh-mh. Vielleicht noch mal ins Anwendungslog schauen zum selben Zeitpunkt wie die 4771-Meldungen? Gerne auch mal im System-Log ob zu dem Zeitpunkt irgendwelche Services versuchen zu starten. Und vielleicht auch mal alle Services durchschauen, ob dort einer mit den Credentials des Admin-Benutzers hinterlegt ist.

Und falls aus welchen Gründen auch immer IIS auf dem DC installiert ist, dort mal in die Anwendungspools gucken ob dort einer mit den Admin-Credentials läuft.
 
So! Besten Dank für euer aller Mithilfe. Der Tipp:

T3Kila schrieb:
Vielleicht vom DHCP das DNS Dynamic Update? Weiß aus Leid oller Erfahrung, dass das nicht unbedingt schnell auffallen muss
Zum Vergrößern anklicken....
war des Rätsels Lösung! Und Danke an @derlorenz für den Link :)
Warum auch immer das hier konfiguriert ist, aber seit ich dies am Freitag geändert habe kommen keine fehlgeschlagenen Anmeldungen mehr von localhost!


Poati schrieb:
Wollte die Thematik auch noch angehen. Ähnliche Ausgangslage. Leider noch nicht dazu gekommen. In meinem Fall muss ich den Rest der Abteilung noch davon überzeugen, aber das soll wohl irgendwie zu machen sein.

Hast du ein paar Tipps für Best Practices oder ähnliches? Oder bist du einfach nach Gefühl vorgegangen?
Zum Vergrößern anklicken....
Meinst du den nicht personenbezogenen Superadmin oder das ungewünscht Verhalten danach?
Zu ersterem:
Ich habe mich grob an dem Guide von Frankysweb (Link) orientiert, natürlich muss man immer schauen wie die eigene Infrastruktur aussieht und wir die normalen Prozesse sind. Danach dann ein Konzept schreiben, Ablauf, GPOs und nach Möglichkeit eine Liste aller möglichen Services, Dienste, Tasks etc. damit dedizierte Serviceaccounts erstellt werden können. Und dann gucken wo es knallt :D

Schönen Wochenstart allen!
 
  • Gefällt mir
Reaktionen: Poati, derlorenz und rg88
@CharlieScene
Sowas wie den Guide von Franky meinte ich schon! Besten Dank :) Frankysweb hat mich bisher auch noch nie enttäuscht. Eine unglaublich gute Anlaufstelle für AD und Exchange.
 
  • Gefällt mir
Reaktionen: CharlieScene
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz