Hi zusammen,
ich teste gerade ein Loganalyse Tool und dabei ist mir aufgefallen das von min. 2 Workstations im Netz massive Loginversuche als "IIS APPPOOL\DefaultAppPool" auf unserem CAS stattfinden.
Die Besitzer (und ich) können sich keinen Reim darauf machen.
Hat hier vll. einer eine Idee was das sein könnte?
Bei geschlossenem Outlook treten die Zugriffe auch auf.
Hier die entsprechende Logmeldung:
Date: 2013/05/27
Time: 12:13:20
Importance: Medium
Rule Name: Logon failure - unknown user name or bad password - during work hours
Monitored machine: XXXXX
Log Format: Windows
Log Name: Security
Event ID: 4625
In Work Hours: Yes
isadmin: No
An account failed to log on.
Subject:
Security ID: IIS APPPOOL\DefaultAppPool
Account Name: DefaultAppPool
Account Domain: IIS APPPOOL
Logon ID: 0x82FE0616
Logon Type: 8
Account For Which Logon Failed:
Security ID: \NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: An Error occured during Logon.
Status: 0xC000000D
Sub Status: 0x0
Process Information:
Caller Process ID: 596
Caller Process Name: C:\Windows\System32\inetsrv\w3wp.exe
Network Information:
Workstation Name: XXXXX
Source Network Address: XXX.XXX.XXX.XXX
Source Port: 55824
Detailed Authentication Information:
Logon Process: Advapi
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0