ERRORES EVENTOS SEGURIDAD + CONEXIONES LDAP 389 TIME WAIT

09/04/2007 - 16:38 por Sergio GTT | Informe spam
Hola.

Hace 2 meses instalamos un DC con W2k3 STD R2 (SERVER) en un dominio W2K
puro. Este dominio también tiene otro DC W2KServer. El SERVER es el que tiene
todos los roles principales.

Desde el principio, tenemos una serie de eventos de seguridad erróneos en
dicho servidor: 529, 566, 673, 675. En el W2KServer no aparecen.

Además, haciendo un "netstat -an" nos salen multiples conexiones ldap desde
(389) el propio servidor hacia el mismo con "time wait". Esto nos está
provocando que cuando llega al máximo de conexiones abiertas, comienzan a
fallarnos procesos basados en conexiones TCP/IP.

Las herramientas de diagnóstico de AD no muestran ningún error.

Adjunto detalle de los eventos de seguridad fallidos:

Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Acceso del servicio de directorio
Id. suceso: 566
Fecha: 05/04/2007
Hora: 8:32:47
Usuario: GTT\JAANDREU$
Equipo: SERVER
Descripcin:
Operacin de objeto:
Servidor de objeto: DS
Tipo de operacin Object Access
Tipo de objeto: computer
Nombre de objeto: CN=JAANDREU,CN=Computers,DC=gtt,DC=es
Identificador: -
Nombre de usuario primario: SERVER$
Dominio primario: GTT
Id. de inicio de sesin primaria: (0x0,0x3E7)
Nombre de usuario de cliente: JAANDREU$
Dominio de cliente: GTT
Id. de inicio de sesin de cliente: (0x2,0x73FBA9CA)
Accesos Propiedad de escritura

Propiedades:

Public Information
servicePrincipalName
computer

Informacin adicional:
Informacin adicional2:
Mscara de acceso: 0x20


Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 675
Fecha: 05/04/2007
Hora: 8:31:36
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Error de preautenticacin:
Nombre de usuario: DMORONO$
Id. de usuario: GTT\DMORONO$
Nombre de sevicio: krbtgt/GTT.ES
Tipo de preautenticacin: 0x2
Cdigo de error: 0x25
Direccin de cliente: 9.55.2.142

Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 673
Fecha: 05/04/2007
Hora: 8:31:36
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Vale de servicio solicitado:
Nombre de usuario:
Dominio de usuario:
Nombre de servicio:
Id. de servicio: -
Opciones de vale: 0x2
Tipo de cifrado de vale: -
Direccin de cliente: 9.55.2.142
Cdigo de error: 0x25
GUID de inicio de sesin: - Servicios transitados: -

Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 675
Fecha: 05/04/2007
Hora: 8:29:12
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Error de preautenticacin:
Nombre de usuario: lmiralles
Id. de usuario: GTT\lmiralles
Nombre de sevicio: krbtgt/GTT
Tipo de preautenticacin: 0x2
Cdigo de error: 0x18
Direccin de cliente: 9.55.1.145


Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 680
Fecha: 03/04/2007
Hora: 16:43:54
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Inicio de sesin intentado por: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Cuenta de inicio de sesin: IWAM_BETVALUE
Estacin de trabajo de origen: BETVALUE
Cdigo de error: 0xC0000064


Para obtener ms informacin, vea el Centro de ayuda y soporte tcnico en
http://go.microsoft.com/fwlink/events.asp.


Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio/cierre de sesin
Id. suceso: 529
Fecha: 03/04/2007
Hora: 16:43:54
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Error al iniciar sesin:
Razn: Nombre de usuario desconocido o contrasea incorrecta
Nombre de usuario: IWAM_BETVALUE
Dominio: BETVALUE
Tipo de inicio de sesin: 3
Proceso de inicio de sesin: NtLmSsp
Paquete de autenticacin: NTLM
Nombre de estacin de trabajo: BETVALUE Nombre de usuario del llamador: -
Dominio del llamador: -
Id de inicio de sesin del llamador: -
Id del proceso del llamador: -
Servicios transitados: -
Direccin de red de origen: 9.55.0.26
Puerto de origen: 3814
 

Leer las respuestas

#1 Javier Inglés [MS MVP]
09/04/2007 - 17:04 | Informe spam
Estáis mirandolos eventos de seguridad, mirad los eventos de sistema y/o
aplicación a ver qué hay

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Sergio GTT" <Sergio escribió en el mensaje
news:
Hola.

Hace 2 meses instalamos un DC con W2k3 STD R2 (SERVER) en un dominio W2K
puro. Este dominio también tiene otro DC W2KServer. El SERVER es el que
tiene
todos los roles principales.

Desde el principio, tenemos una serie de eventos de seguridad erróneos en
dicho servidor: 529, 566, 673, 675. En el W2KServer no aparecen.

Además, haciendo un "netstat -an" nos salen multiples conexiones ldap
desde
(389) el propio servidor hacia el mismo con "time wait". Esto nos está
provocando que cuando llega al máximo de conexiones abiertas, comienzan a
fallarnos procesos basados en conexiones TCP/IP.

Las herramientas de diagnóstico de AD no muestran ningún error.

Adjunto detalle de los eventos de seguridad fallidos:

Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Acceso del servicio de directorio
Id. suceso: 566
Fecha: 05/04/2007
Hora: 8:32:47
Usuario: GTT\JAANDREU$
Equipo: SERVER
Descripcin:
Operacin de objeto:
Servidor de objeto: DS
Tipo de operacin Object Access
Tipo de objeto: computer
Nombre de objeto: CN=JAANDREU,CN=Computers,DC=gtt,DC=es
Identificador: -
Nombre de usuario primario: SERVER$
Dominio primario: GTT
Id. de inicio de sesin primaria: (0x0,0x3E7)
Nombre de usuario de cliente: JAANDREU$
Dominio de cliente: GTT
Id. de inicio de sesin de cliente: (0x2,0x73FBA9CA)
Accesos Propiedad de escritura

Propiedades:

Public Information
servicePrincipalName
computer

Informacin adicional:
Informacin adicional2:
Mscara de acceso: 0x20


Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 675
Fecha: 05/04/2007
Hora: 8:31:36
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Error de preautenticacin:
Nombre de usuario: DMORONO$
Id. de usuario: GTT\DMORONO$
Nombre de sevicio: krbtgt/GTT.ES
Tipo de preautenticacin: 0x2
Cdigo de error: 0x25
Direccin de cliente: 9.55.2.142

Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 673
Fecha: 05/04/2007
Hora: 8:31:36
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Vale de servicio solicitado:
Nombre de usuario:
Dominio de usuario:
Nombre de servicio:
Id. de servicio: -
Opciones de vale: 0x2
Tipo de cifrado de vale: -
Direccin de cliente: 9.55.2.142
Cdigo de error: 0x25
GUID de inicio de sesin: - Servicios transitados: -

Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 675
Fecha: 05/04/2007
Hora: 8:29:12
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Error de preautenticacin:
Nombre de usuario: lmiralles
Id. de usuario: GTT\lmiralles
Nombre de sevicio: krbtgt/GTT
Tipo de preautenticacin: 0x2
Cdigo de error: 0x18
Direccin de cliente: 9.55.1.145


Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 680
Fecha: 03/04/2007
Hora: 16:43:54
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Inicio de sesin intentado por: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Cuenta de inicio de sesin: IWAM_BETVALUE
Estacin de trabajo de origen: BETVALUE
Cdigo de error: 0xC0000064


Para obtener ms informacin, vea el Centro de ayuda y soporte tcnico en
http://go.microsoft.com/fwlink/events.asp.


Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio/cierre de sesin
Id. suceso: 529
Fecha: 03/04/2007
Hora: 16:43:54
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Error al iniciar sesin:
Razn: Nombre de usuario desconocido o contrasea incorrecta
Nombre de usuario: IWAM_BETVALUE
Dominio: BETVALUE
Tipo de inicio de sesin: 3
Proceso de inicio de sesin: NtLmSsp
Paquete de autenticacin: NTLM
Nombre de estacin de trabajo: BETVALUE Nombre de usuario del llamador: -
Dominio del llamador: -
Id de inicio de sesin del llamador: -
Id del proceso del llamador: -
Servicios transitados: -
Direccin de red de origen: 9.55.0.26
Puerto de origen: 3814



Preguntas similares