ERRORES EVENTOS SEGURIDAD + CONEXIONES LDAP 389 TIME WAIT

09/04/2007 - 16:38 por Sergio GTT | Informe spam
Hola.

Hace 2 meses instalamos un DC con W2k3 STD R2 (SERVER) en un dominio W2K
puro. Este dominio también tiene otro DC W2KServer. El SERVER es el que tiene
todos los roles principales.

Desde el principio, tenemos una serie de eventos de seguridad erróneos en
dicho servidor: 529, 566, 673, 675. En el W2KServer no aparecen.

Además, haciendo un "netstat -an" nos salen multiples conexiones ldap desde
(389) el propio servidor hacia el mismo con "time wait". Esto nos está
provocando que cuando llega al máximo de conexiones abiertas, comienzan a
fallarnos procesos basados en conexiones TCP/IP.

Las herramientas de diagnóstico de AD no muestran ningún error.

Adjunto detalle de los eventos de seguridad fallidos:

Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Acceso del servicio de directorio
Id. suceso: 566
Fecha: 05/04/2007
Hora: 8:32:47
Usuario: GTT\JAANDREU$
Equipo: SERVER
Descripcin:
Operacin de objeto:
Servidor de objeto: DS
Tipo de operacin Object Access
Tipo de objeto: computer
Nombre de objeto: CN=JAANDREU,CN=Computers,DC=gtt,DC=es
Identificador: -
Nombre de usuario primario: SERVER$
Dominio primario: GTT
Id. de inicio de sesin primaria: (0x0,0x3E7)
Nombre de usuario de cliente: JAANDREU$
Dominio de cliente: GTT
Id. de inicio de sesin de cliente: (0x2,0x73FBA9CA)
Accesos Propiedad de escritura

Propiedades:

Public Information
servicePrincipalName
computer

Informacin adicional:
Informacin adicional2:
Mscara de acceso: 0x20


Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 675
Fecha: 05/04/2007
Hora: 8:31:36
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Error de preautenticacin:
Nombre de usuario: DMORONO$
Id. de usuario: GTT\DMORONO$
Nombre de sevicio: krbtgt/GTT.ES
Tipo de preautenticacin: 0x2
Cdigo de error: 0x25
Direccin de cliente: 9.55.2.142

Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 673
Fecha: 05/04/2007
Hora: 8:31:36
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Vale de servicio solicitado:
Nombre de usuario:
Dominio de usuario:
Nombre de servicio:
Id. de servicio: -
Opciones de vale: 0x2
Tipo de cifrado de vale: -
Direccin de cliente: 9.55.2.142
Cdigo de error: 0x25
GUID de inicio de sesin: - Servicios transitados: -

Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 675
Fecha: 05/04/2007
Hora: 8:29:12
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Error de preautenticacin:
Nombre de usuario: lmiralles
Id. de usuario: GTT\lmiralles
Nombre de sevicio: krbtgt/GTT
Tipo de preautenticacin: 0x2
Cdigo de error: 0x18
Direccin de cliente: 9.55.1.145


Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 680
Fecha: 03/04/2007
Hora: 16:43:54
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Inicio de sesin intentado por: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Cuenta de inicio de sesin: IWAM_BETVALUE
Estacin de trabajo de origen: BETVALUE
Cdigo de error: 0xC0000064


Para obtener ms informacin, vea el Centro de ayuda y soporte tcnico en
http://go.microsoft.com/fwlink/events.asp.


Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio/cierre de sesin
Id. suceso: 529
Fecha: 03/04/2007
Hora: 16:43:54
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Error al iniciar sesin:
Razn: Nombre de usuario desconocido o contrasea incorrecta
Nombre de usuario: IWAM_BETVALUE
Dominio: BETVALUE
Tipo de inicio de sesin: 3
Proceso de inicio de sesin: NtLmSsp
Paquete de autenticacin: NTLM
Nombre de estacin de trabajo: BETVALUE Nombre de usuario del llamador: -
Dominio del llamador: -
Id de inicio de sesin del llamador: -
Id del proceso del llamador: -
Servicios transitados: -
Direccin de red de origen: 9.55.0.26
Puerto de origen: 3814

Preguntas similare

Leer las respuestas

#1 Javier Inglés [MS MVP]
09/04/2007 - 17:04 | Informe spam
Estáis mirandolos eventos de seguridad, mirad los eventos de sistema y/o
aplicación a ver qué hay

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Sergio GTT" <Sergio escribió en el mensaje
news:
Hola.

Hace 2 meses instalamos un DC con W2k3 STD R2 (SERVER) en un dominio W2K
puro. Este dominio también tiene otro DC W2KServer. El SERVER es el que
tiene
todos los roles principales.

Desde el principio, tenemos una serie de eventos de seguridad erróneos en
dicho servidor: 529, 566, 673, 675. En el W2KServer no aparecen.

Además, haciendo un "netstat -an" nos salen multiples conexiones ldap
desde
(389) el propio servidor hacia el mismo con "time wait". Esto nos está
provocando que cuando llega al máximo de conexiones abiertas, comienzan a
fallarnos procesos basados en conexiones TCP/IP.

Las herramientas de diagnóstico de AD no muestran ningún error.

Adjunto detalle de los eventos de seguridad fallidos:

Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Acceso del servicio de directorio
Id. suceso: 566
Fecha: 05/04/2007
Hora: 8:32:47
Usuario: GTT\JAANDREU$
Equipo: SERVER
Descripcin:
Operacin de objeto:
Servidor de objeto: DS
Tipo de operacin Object Access
Tipo de objeto: computer
Nombre de objeto: CN=JAANDREU,CN=Computers,DC=gtt,DC=es
Identificador: -
Nombre de usuario primario: SERVER$
Dominio primario: GTT
Id. de inicio de sesin primaria: (0x0,0x3E7)
Nombre de usuario de cliente: JAANDREU$
Dominio de cliente: GTT
Id. de inicio de sesin de cliente: (0x2,0x73FBA9CA)
Accesos Propiedad de escritura

Propiedades:

Public Information
servicePrincipalName
computer

Informacin adicional:
Informacin adicional2:
Mscara de acceso: 0x20


Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 675
Fecha: 05/04/2007
Hora: 8:31:36
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Error de preautenticacin:
Nombre de usuario: DMORONO$
Id. de usuario: GTT\DMORONO$
Nombre de sevicio: krbtgt/GTT.ES
Tipo de preautenticacin: 0x2
Cdigo de error: 0x25
Direccin de cliente: 9.55.2.142

Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 673
Fecha: 05/04/2007
Hora: 8:31:36
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Vale de servicio solicitado:
Nombre de usuario:
Dominio de usuario:
Nombre de servicio:
Id. de servicio: -
Opciones de vale: 0x2
Tipo de cifrado de vale: -
Direccin de cliente: 9.55.2.142
Cdigo de error: 0x25
GUID de inicio de sesin: - Servicios transitados: -

Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 675
Fecha: 05/04/2007
Hora: 8:29:12
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Error de preautenticacin:
Nombre de usuario: lmiralles
Id. de usuario: GTT\lmiralles
Nombre de sevicio: krbtgt/GTT
Tipo de preautenticacin: 0x2
Cdigo de error: 0x18
Direccin de cliente: 9.55.1.145


Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio de sesin de la cuenta
Id. suceso: 680
Fecha: 03/04/2007
Hora: 16:43:54
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Inicio de sesin intentado por: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Cuenta de inicio de sesin: IWAM_BETVALUE
Estacin de trabajo de origen: BETVALUE
Cdigo de error: 0xC0000064


Para obtener ms informacin, vea el Centro de ayuda y soporte tcnico en
http://go.microsoft.com/fwlink/events.asp.


Tipo de suceso: Errores
Origen del suceso: Security
Categora del suceso: Inicio/cierre de sesin
Id. suceso: 529
Fecha: 03/04/2007
Hora: 16:43:54
Usuario: NT AUTHORITY\SYSTEM
Equipo: SERVER
Descripcin:
Error al iniciar sesin:
Razn: Nombre de usuario desconocido o contrasea incorrecta
Nombre de usuario: IWAM_BETVALUE
Dominio: BETVALUE
Tipo de inicio de sesin: 3
Proceso de inicio de sesin: NtLmSsp
Paquete de autenticacin: NTLM
Nombre de estacin de trabajo: BETVALUE Nombre de usuario del llamador: -
Dominio del llamador: -
Id de inicio de sesin del llamador: -
Id del proceso del llamador: -
Servicios transitados: -
Direccin de red de origen: 9.55.0.26
Puerto de origen: 3814



Respuesta Responder a este mensaje
#2 Sergio GTT
09/04/2007 - 17:32 | Informe spam
Hola Javier.

Todo limpio.

Estoy seguro que lo de las conexiones en TIMEWAIT del 389 están relacionados
con los eventos de seguridad.

Llevo mirándolo 1 mes y no encuentro la solución.

No se si tiene que ver el que tenga un 2000 y un 2003 como DC. En otra
instalación de un dominio, seguí los pasos de esta instalación y no tuve
problemas. Dichos pasos son los que distáis en vuestro documento de migrar a
2003. También he leido el tuyo de herramientas de diagnostico y nada de nada.

Ya me cuentas.

Gracias

"Javier Inglés [MS MVP]" wrote:

Estáis mirandolos eventos de seguridad, mirad los eventos de sistema y/o
aplicación a ver qué hay

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Sergio GTT" <Sergio escribió en el mensaje
news:
> Hola.
>
> Hace 2 meses instalamos un DC con W2k3 STD R2 (SERVER) en un dominio W2K
> puro. Este dominio también tiene otro DC W2KServer. El SERVER es el que
> tiene
> todos los roles principales.
>
> Desde el principio, tenemos una serie de eventos de seguridad erróneos en
> dicho servidor: 529, 566, 673, 675. En el W2KServer no aparecen.
>
> Además, haciendo un "netstat -an" nos salen multiples conexiones ldap
> desde
> (389) el propio servidor hacia el mismo con "time wait". Esto nos está
> provocando que cuando llega al máximo de conexiones abiertas, comienzan a
> fallarnos procesos basados en conexiones TCP/IP.
>
> Las herramientas de diagnóstico de AD no muestran ningún error.
>
> Adjunto detalle de los eventos de seguridad fallidos:
>
> Tipo de suceso: Errores
> Origen del suceso: Security
> Categora del suceso: Acceso del servicio de directorio
> Id. suceso: 566
> Fecha: 05/04/2007
> Hora: 8:32:47
> Usuario: GTT\JAANDREU$
> Equipo: SERVER
> Descripcin:
> Operacin de objeto:
> Servidor de objeto: DS
> Tipo de operacin Object Access
> Tipo de objeto: computer
> Nombre de objeto: CN=JAANDREU,CN=Computers,DC=gtt,DC=es
> Identificador: -
> Nombre de usuario primario: SERVER$
> Dominio primario: GTT
> Id. de inicio de sesin primaria: (0x0,0x3E7)
> Nombre de usuario de cliente: JAANDREU$
> Dominio de cliente: GTT
> Id. de inicio de sesin de cliente: (0x2,0x73FBA9CA)
> Accesos Propiedad de escritura
>
> Propiedades:
>
> Public Information
> servicePrincipalName
> computer
>
> Informacin adicional:
> Informacin adicional2:
> Mscara de acceso: 0x20
>
>
> Tipo de suceso: Errores
> Origen del suceso: Security
> Categora del suceso: Inicio de sesin de la cuenta
> Id. suceso: 675
> Fecha: 05/04/2007
> Hora: 8:31:36
> Usuario: NT AUTHORITY\SYSTEM
> Equipo: SERVER
> Descripcin:
> Error de preautenticacin:
> Nombre de usuario: DMORONO$
> Id. de usuario: GTT\DMORONO$
> Nombre de sevicio: krbtgt/GTT.ES
> Tipo de preautenticacin: 0x2
> Cdigo de error: 0x25
> Direccin de cliente: 9.55.2.142
>
> Tipo de suceso: Errores
> Origen del suceso: Security
> Categora del suceso: Inicio de sesin de la cuenta
> Id. suceso: 673
> Fecha: 05/04/2007
> Hora: 8:31:36
> Usuario: NT AUTHORITY\SYSTEM
> Equipo: SERVER
> Descripcin:
> Vale de servicio solicitado:
> Nombre de usuario:
> Dominio de usuario:
> Nombre de servicio:
> Id. de servicio: -
> Opciones de vale: 0x2
> Tipo de cifrado de vale: -
> Direccin de cliente: 9.55.2.142
> Cdigo de error: 0x25
> GUID de inicio de sesin: - Servicios transitados: -
>
> Tipo de suceso: Errores
> Origen del suceso: Security
> Categora del suceso: Inicio de sesin de la cuenta
> Id. suceso: 675
> Fecha: 05/04/2007
> Hora: 8:29:12
> Usuario: NT AUTHORITY\SYSTEM
> Equipo: SERVER
> Descripcin:
> Error de preautenticacin:
> Nombre de usuario: lmiralles
> Id. de usuario: GTT\lmiralles
> Nombre de sevicio: krbtgt/GTT
> Tipo de preautenticacin: 0x2
> Cdigo de error: 0x18
> Direccin de cliente: 9.55.1.145
>
>
> Tipo de suceso: Errores
> Origen del suceso: Security
> Categora del suceso: Inicio de sesin de la cuenta
> Id. suceso: 680
> Fecha: 03/04/2007
> Hora: 16:43:54
> Usuario: NT AUTHORITY\SYSTEM
> Equipo: SERVER
> Descripcin:
> Inicio de sesin intentado por: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
> Cuenta de inicio de sesin: IWAM_BETVALUE
> Estacin de trabajo de origen: BETVALUE
> Cdigo de error: 0xC0000064
>
>
> Para obtener ms informacin, vea el Centro de ayuda y soporte tcnico en
> http://go.microsoft.com/fwlink/events.asp.
>
>
> Tipo de suceso: Errores
> Origen del suceso: Security
> Categora del suceso: Inicio/cierre de sesin
> Id. suceso: 529
> Fecha: 03/04/2007
> Hora: 16:43:54
> Usuario: NT AUTHORITY\SYSTEM
> Equipo: SERVER
> Descripcin:
> Error al iniciar sesin:
> Razn: Nombre de usuario desconocido o contrasea incorrecta
> Nombre de usuario: IWAM_BETVALUE
> Dominio: BETVALUE
> Tipo de inicio de sesin: 3
> Proceso de inicio de sesin: NtLmSsp
> Paquete de autenticacin: NTLM
> Nombre de estacin de trabajo: BETVALUE Nombre de usuario del llamador: -
> Dominio del llamador: -
> Id de inicio de sesin del llamador: -
> Id del proceso del llamador: -
> Servicios transitados: -
> Direccin de red de origen: 9.55.0.26
> Puerto de origen: 3814
>
>
>



Respuesta Responder a este mensaje
#3 Javier Inglés [MS MVP]
09/04/2007 - 17:58 | Informe spam
Socio, es normal que un DC contra sí mismo tenga dichas conexiones.

Los eventos de seguridad míralos en www.eventid.net, pero puedes tener
errores de acceso LDAP que más que erroes sean informativos, tienes álgún
problema concretocon el AD o las estaciones?

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Sergio GTT" escribió en el mensaje
news:
Hola Javier.

Todo limpio.

Estoy seguro que lo de las conexiones en TIMEWAIT del 389 están
relacionados
con los eventos de seguridad.

Llevo mirándolo 1 mes y no encuentro la solución.

No se si tiene que ver el que tenga un 2000 y un 2003 como DC. En otra
instalación de un dominio, seguí los pasos de esta instalación y no tuve
problemas. Dichos pasos son los que distáis en vuestro documento de migrar
a
2003. También he leido el tuyo de herramientas de diagnostico y nada de
nada.

Ya me cuentas.

Gracias

"Javier Inglés [MS MVP]" wrote:

Estáis mirandolos eventos de seguridad, mirad los eventos de sistema y/o
aplicación a ver qué hay

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Sergio GTT" <Sergio escribió en el
mensaje
news:
> Hola.
>
> Hace 2 meses instalamos un DC con W2k3 STD R2 (SERVER) en un dominio
> W2K
> puro. Este dominio también tiene otro DC W2KServer. El SERVER es el que
> tiene
> todos los roles principales.
>
> Desde el principio, tenemos una serie de eventos de seguridad erróneos
> en
> dicho servidor: 529, 566, 673, 675. En el W2KServer no aparecen.
>
> Además, haciendo un "netstat -an" nos salen multiples conexiones ldap
> desde
> (389) el propio servidor hacia el mismo con "time wait". Esto nos está
> provocando que cuando llega al máximo de conexiones abiertas, comienzan
> a
> fallarnos procesos basados en conexiones TCP/IP.
>
> Las herramientas de diagnóstico de AD no muestran ningún error.
>
> Adjunto detalle de los eventos de seguridad fallidos:
>
> Tipo de suceso: Errores
> Origen del suceso: Security
> Categora del suceso: Acceso del servicio de directorio
> Id. suceso: 566
> Fecha: 05/04/2007
> Hora: 8:32:47
> Usuario: GTT\JAANDREU$
> Equipo: SERVER
> Descripcin:
> Operacin de objeto:
> Servidor de objeto: DS
> Tipo de operacin Object Access
> Tipo de objeto: computer
> Nombre de objeto: CN=JAANDREU,CN=Computers,DC=gtt,DC=es
> Identificador: -
> Nombre de usuario primario: SERVER$
> Dominio primario: GTT
> Id. de inicio de sesin primaria: (0x0,0x3E7)
> Nombre de usuario de cliente: JAANDREU$
> Dominio de cliente: GTT
> Id. de inicio de sesin de cliente: (0x2,0x73FBA9CA)
> Accesos Propiedad de escritura
>
> Propiedades:
>
> Public Information
> servicePrincipalName
> computer
>
> Informacin adicional:
> Informacin adicional2:
> Mscara de acceso: 0x20
>
>
> Tipo de suceso: Errores
> Origen del suceso: Security
> Categora del suceso: Inicio de sesin de la cuenta
> Id. suceso: 675
> Fecha: 05/04/2007
> Hora: 8:31:36
> Usuario: NT AUTHORITY\SYSTEM
> Equipo: SERVER
> Descripcin:
> Error de preautenticacin:
> Nombre de usuario: DMORONO$
> Id. de usuario: GTT\DMORONO$
> Nombre de sevicio: krbtgt/GTT.ES
> Tipo de preautenticacin: 0x2
> Cdigo de error: 0x25
> Direccin de cliente: 9.55.2.142
>
> Tipo de suceso: Errores
> Origen del suceso: Security
> Categora del suceso: Inicio de sesin de la cuenta
> Id. suceso: 673
> Fecha: 05/04/2007
> Hora: 8:31:36
> Usuario: NT AUTHORITY\SYSTEM
> Equipo: SERVER
> Descripcin:
> Vale de servicio solicitado:
> Nombre de usuario:
> Dominio de usuario:
> Nombre de servicio:
> Id. de servicio: -
> Opciones de vale: 0x2
> Tipo de cifrado de vale: -
> Direccin de cliente: 9.55.2.142
> Cdigo de error: 0x25
> GUID de inicio de sesin: - Servicios transitados: -
>
> Tipo de suceso: Errores
> Origen del suceso: Security
> Categora del suceso: Inicio de sesin de la cuenta
> Id. suceso: 675
> Fecha: 05/04/2007
> Hora: 8:29:12
> Usuario: NT AUTHORITY\SYSTEM
> Equipo: SERVER
> Descripcin:
> Error de preautenticacin:
> Nombre de usuario: lmiralles
> Id. de usuario: GTT\lmiralles
> Nombre de sevicio: krbtgt/GTT
> Tipo de preautenticacin: 0x2
> Cdigo de error: 0x18
> Direccin de cliente: 9.55.1.145
>
>
> Tipo de suceso: Errores
> Origen del suceso: Security
> Categora del suceso: Inicio de sesin de la cuenta
> Id. suceso: 680
> Fecha: 03/04/2007
> Hora: 16:43:54
> Usuario: NT AUTHORITY\SYSTEM
> Equipo: SERVER
> Descripcin:
> Inicio de sesin intentado por: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
> Cuenta de inicio de sesin: IWAM_BETVALUE
> Estacin de trabajo de origen: BETVALUE
> Cdigo de error: 0xC0000064
>
>
> Para obtener ms informacin, vea el Centro de ayuda y soporte tcnico en
> http://go.microsoft.com/fwlink/events.asp.
>
>
> Tipo de suceso: Errores
> Origen del suceso: Security
> Categora del suceso: Inicio/cierre de sesin
> Id. suceso: 529
> Fecha: 03/04/2007
> Hora: 16:43:54
> Usuario: NT AUTHORITY\SYSTEM
> Equipo: SERVER
> Descripcin:
> Error al iniciar sesin:
> Razn: Nombre de usuario desconocido o contrasea incorrecta
> Nombre de usuario: IWAM_BETVALUE
> Dominio: BETVALUE
> Tipo de inicio de sesin: 3
> Proceso de inicio de sesin: NtLmSsp
> Paquete de autenticacin: NTLM
> Nombre de estacin de trabajo: BETVALUE Nombre de usuario del
> llamador: -
> Dominio del llamador: -
> Id de inicio de sesin del llamador: -
> Id del proceso del llamador: -
> Servicios transitados: -
> Direccin de red de origen: 9.55.0.26
> Puerto de origen: 3814
>
>
>



email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida