Pergunta : Falha do exame em Windows 2008

Eu recebi um usuário novo de Dell para nossa empresa ontem. Eu configurei-o inicialmente para deixá-lo funcionar por um período de uma queima de 5 dias. Eu instalei Windows STD 2008 SP2, excitadores da ferragem, proteção 11.0.5 do valor-limite de Symantec e Adobe Acrobat. Eu não instalei nenhuma atualizações adicional de microsoft diferentes de SP2 que veio em transferência dos meios. o ambiente do

The consiste em um usuário 2000 da vitória (no domínio & na C.C.), ganha o usuário 2003 (no domínio) e as 20 estações de trabalho do domínio que funcionam XP pro. Todos os sistemas funcionam a liberação atual da proteção do valor-limite de Symantec. O usuário não está no domínio ainda. É um standaolne sem a manhã onde do ANÚNCIO installed.

This eu verific os registros de sistema e encontrei os eventos múltiplos que os olhares como alguém estão retificando para cortar nele. Estão aqui os eventos que eu encontrei. Deixar-me saber o que eu devo nome de do.

Log:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/22/2010 de 7:47: 35 identificação de AM
Event:      categoria de 4625
Task: Logon
Level:         Information
Keywords:      Exame Failure
User:          N/A
Computer:      server8
Description: cliente do
An falhado a logon.

Subject: Identificação da segurança do
:                nome de cliente de server8 \ Administrator
:                Domínio do cliente de Administrator
:                identificação de início de uma sessão de server8
:                tipo de 0x3824b82

Logon:                        2

esclarecem que entram Failed: Identificação da segurança do
:                Nome de cliente NULO de SID
:                Domínio do cliente de Administrator
: informação do

Failure: Razão da falha do
:                Nome de usuário desconhecido ou status mau de password.
:                        status secundário de 0xc000006d
:                informação de 0xc000006a

Process: Identificação Process do chamador do
:        nome do processo do chamador de 0xda8
:        informação do

Network de C:\Windows\explorer.exe: Nome da estação de trabalho do
:        endereço de rede da fonte de server8
:        - porto da fonte do
:                - informação de autenticação do

Detailed: Processo do início de uma sessão do
:                Pacote da autenticação de Advapi
:        MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
transitou por serviços:        - comprimento chave do nome do pacote do
(NTLM somente):-
:                o evento de 0

This é gerado quando um pedido de início de uma sessão falha. É gerado no computador onde o
access era campos de attempted.

The indica o cliente no sistema local que pediu o início de uma sessão. o
This é o mais geralmente um serviço tal como o serviço do usuário, ou um processo local tal como o
Winlogon.exe ou o tipo campo do início de uma sessão de Services.exe.

The indica o tipo do início de uma sessão que foi pedido. O
types é 2 (interativo) e 3 (rede). os campos de informação Process do

The indicam que qual o cliente e o processo no sistema pediram os campos de informação da rede do
the logon.

The indicam onde um pedido de início de uma sessão remoto originou. o nome do
Workstation não está sempre disponível e pode ser deixado em alguns casos. campos de informação em branco da autenticação do

The fornece a informações detalhadas sobre este
logon request.
- serviços transitados por indicar que serviços intermediários participaram neste
logon request.
- nome do pacote indica que secundário-protocolo foi usado entre o NTLM protocols.
- o comprimento chave indica o comprimento da chave de sessão gerada. Este será 0 se nenhuma chave do
session era requested.
Event Xml: rel= " nofollow " " do _blank o " do " target= " de http://schemas.microsoft.com/win/2004/08/events/event do href= o osoft.com/win/2004/08/events/event " Guid= " {54849625-5478-4994-a5ba-3e3b0328c30d} “/>
4625
0
0
12544
0
0x8010000000000000ds>
de http://schemas.micr do
do >
S-1-5-21-3628322202-2619417080-1902112590-500
< nome de dados = " SubjectUserName " >Administrator
< nome de dados = " SubjectDomainName " >server8ta>
< nome de dados = " SubjectLogonId " >0x3824b82a>
< nome de dados = " TargetUserSid " >S-1-0-0
< nome de dados = " TargetUserName " >Administrator</Data>
< nome de dados = " TargetDomainName " >

< nome de dados = " status " >0xc000006dData>
< nome de dados = "FailureReason " >%%2313
< nome de dados = " SubStatus " >0xc000006a
< nome de dados = " LogonType " >2
< nome de dados = >Advapi
< nome de dados = " >MICROSOFT_AUTHENTICATION_PACKAGE_V1_0>
eName "/> < nome de dados = >server8>
< nome de dados = >-
< nome de dados = " LmPackageName " >-ta>
< nome de dados = " KeyLength " >0
< nome de dados = " ProcessId " >0xda8ta>
< nome de dados = ows \ explorer.exeta>
C:\Wind/> < nome de dados = " IP address " >-
< nome de dados = " IpPort "nome de >-



Log:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/21/2010 de 11:38: 15 identificação de AM
Event:      categoria de 4625
Task: Logon
Level:         Information
Keywords:      Exame Failure
User:          N/A
Computer:      server8
Description: cliente do
An falhado a logon.

Subject: Identificação da segurança do
:                nome de cliente de server8 \ Administrator
:                Domínio do cliente de Administrator
:                identificação de início de uma sessão de server8
:                tipo de 0x26a59

Logon:                        2

esclarecem que entram Failed: Identificação da segurança do
:                Nome de cliente NULO de SID
:                Domínio do cliente de Administrator
:                informação de server8

Failure: Razão da falha do
:                Nome de usuário desconhecido ou status mau de password.
:                        status secundário de 0xc000006d
:                informação de 0xc000006a

Process: Identificação Process do chamador do
:        nome do processo do chamador de 0xb34
:        informação do c.exe

Network de C:\Windows\SysWOW64\msiexe: Nome da estação de trabalho do
:        endereço de rede da fonte de server8
:        - porto da fonte do
:                - informação de autenticação do

Detailed: Processo do início de uma sessão do
:                Pacote da autenticação de Advapi
:        Negotiate
transitou por serviços:        - comprimento chave do nome do pacote do
(NTLM somente):-
:                o evento de 0

This é gerado quando um pedido de início de uma sessão falha. É gerado no computador onde o
access era campos de attempted.

The indica o cliente no sistema local que pediu o início de uma sessão. o
This é o mais geralmente um serviço tal como o serviço do usuário, ou um processo local tal como o
Winlogon.exe ou o tipo campo do início de uma sessão de Services.exe.

The indica o tipo do início de uma sessão que foi pedido. O
types é 2 (interativo) e 3 (rede). os campos de informação Process do

The indicam que qual o cliente e o processo no sistema pediram os campos de informação da rede do
the logon.

The indicam onde um pedido de início de uma sessão remoto originou. o nome do
Workstation não está sempre disponível e pode ser deixado em alguns casos. campos de informação em branco da autenticação do

The fornece a informações detalhadas sobre este
logon request.
- serviços transitados por indicar que serviços intermediários participaram neste
logon request.
- nome do pacote indica que secundário-protocolo foi usado entre o NTLM protocols.
- o comprimento chave indica o comprimento da chave de sessão gerada. Este será 0 se nenhuma chave do
session era requested.
Event Xml: rel= " nofollow "” do _blank o” do” target= " de http://schemas.microsoft.com/win/2004/08/events/event do href= o osoft.com/win/2004/08/events/event " 38: 15.422Z de "


/>
Security>
server8r>
/> < nome de dados = " SubjectUserSid " >S-1-5-21-3628322202-2619417080-1902112590-500
< nome de dados = " SubjectUserName " >Administrator
< nome de dados = " SubjectDomainName " >server8ta>
< nome de dados = " SubjectLogonId " >0x26a59
< nome de dados = " TargetUserSid " >S-1-0-0
< nome de dados = " TargetUserName " >Administrator</Data>
< nome de dados = " TargetDomainName " >server8a>
< nome de dados = " status " >0xc000006dData>
< nome de dados = "FailureReason " >%%2313
< nome de dados = " SubStatus " >0xc000006a
< nome de dados = " LogonType " >2
< nome de dados = >Advapi
< nome de dados = " >Negotiateta>
eName "/> < nome de dados = >server8>
< nome de dados = >-
< nome de dados = " LmPackageName " >-ta>
< nome de dados = " KeyLength " >0
< nome de dados = " ProcessId " >0xb34ta>
< nome de dados = ows \ SysWOW64 \ msiexec.exe>
C:\Wind/> < nome de dados = " IP address " >-
< nome de dados = " IpPort "nome de >-


Log:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/21/2010 de 11:33: 05 identificação de AM
Event:      categoria de 4625
Task: Logon
Level:         Information
Keywords:      Exame Failure
User:          N/A
Computer:      server8
Description: cliente do
An falhado a logon.

Subject: Identificação da segurança do
:                nome de cliente de server8 \ Administrator
:                Domínio do cliente de Administrator
:                identificação de início de uma sessão de server8
:                tipo de 0x26a59

Logon:                        3

esclarecem que entram Failed: Identificação da segurança do
:                Nome de cliente NULO de SID
:                Domínio do cliente de Guest
:                informação de server8

Failure: Razão da falha do
:                Do cliente status atualmente disabled.
:                        status secundário de 0xc000006e
:                informação de 0xc0000072

Process: Identificação Process do chamador do
:        nome do processo do chamador de 0xb7c
:        informação do

Network de C:\Windows\explorer.exe: Nome da estação de trabalho do
:        endereço de rede da fonte de server8
:        - porto da fonte do
:                - informação de autenticação do

Detailed: Processo do início de uma sessão do
:                Pacote da autenticação de Advapi
:        Negotiate
transitou por serviços:        - comprimento chave do nome do pacote do
(NTLM somente):-
:                o evento de 0

This é gerado quando um pedido de início de uma sessão falha. É gerado no computador onde o
access era campos de attempted.

The indica o cliente no sistema local que pediu o início de uma sessão. o
This é o mais geralmente um serviço tal como o serviço do usuário, ou um processo local tal como o
Winlogon.exe ou o tipo campo do início de uma sessão de Services.exe.

The indica o tipo do início de uma sessão que foi pedido. O
types é 2 (interativo) e 3 (rede). os campos de informação Process do

The indicam que qual o cliente e o processo no sistema pediram os campos de informação da rede do
the logon.

The indicam onde um pedido de início de uma sessão remoto originou. o nome do
Workstation não está sempre disponível e pode ser deixado em alguns casos. campos de informação em branco da autenticação do

The fornece a informações detalhadas sobre este
logon request.
- serviços transitados por indicar que serviços intermediários participaram neste
logon request.
- nome do pacote indica que secundário-protocolo foi usado entre o NTLM protocols.
- o comprimento chave indica o comprimento da chave de sessão gerada. Este será 0 se nenhuma chave do
session era requested.
Event Xml: rel= " nofollow " " do _blank o " do " target= " de http://schemas.microsoft.com/win/2004/08/events/event do href= o osoft.com/win/2004/08/events/event " Guid= " {54849625-5478-4994-a5ba-3e3b0328c30d} “/>
4625
0
0
12544
0
0x8010000000000000ds>
de http://schemas.micr do
do >
S-1-5-21-3628322202-2619417080-1902112590-500
< nome de dados = " SubjectUserName " >Administrator
< nome de dados = " SubjectDomainName " >server8ta>
< nome de dados = " SubjectLogonId " >0x26a59
< nome de dados = " TargetUserSid " >S-1-0-0
< nome de dados = " TargetUserName " >Guest
< nome de dados = " TargetDomainName " >server8a>
< nome de dados = " status " >0xc000006eData>
< nome de dados = " FailureReason" >%%2310
< nome de dados = " SubStatus " >0xc0000072
< nome de dados = " LogonType " >3
< nome de dados = >Advapi
< nome de dados = " >Negotiateta>
eName "/> < nome de dados = >server8>
< nome de dados = >-
< nome de dados = " LmPackageName " >-ta>
< nome de dados = " KeyLength " >0
< nome de dados = " ProcessId " >0xb7cta>
< nome de dados = ows \ explorer.exeta>
C:\Wind/> < nome de dados = " IP address " >-
< nome de dados = " IpPort " >-


Log:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/21/2010 de 10:45: 17 identificação de AM
Event:      categoria de 5032
Task: O outro sistema Events
Level:         Information
Keywords:      Exame Failure
User:          N/A
Computer:      server8
Description: o guarda-fogo do
Windows era incapaz de notificar o usuário que obstruiu uma aplicação das conexões entrantes do
accepting no código de network.

Error:        2
Event Xml: rel= " nofollow "” do _blank” do” target= " de http://schemas.microsoft.com/win/2004/08/events/event do href= osoft.com/win/2004/08/events/event "
do >
: 45: de "
/>
315ecordID>
" de 17.443Z 692 " ThreadID= " 1588 de "


/>
Security>
server8r>
/> < nome de dados =

>2

" de ErrorCode de " class= do

Resposta : Falha do exame em Windows 2008

alguém está tentando à RDP e às movimentações de rede do mapa a seu usuário novo, é alguém dentro de sua rede ou é seu usuário novo dentro de um DMZ?

pensar que você tem uns problemas mais grandes do que apenas este um usuário…