none
Ошибки Kerberos RRS feed

  • Вопрос

  • Коллеги, добрый день!

    С не определенной периодичностью появляются сообщение Аудит отказа от разных пользователей. Блокировка не происходит, аудит включен. Хотелось бы понимать с чем может быть это связано? 

    Сбой предварительной проверки подлинности Kerberos.  4771
    0x40810010

    Запрошен билет службы Kerberos. 4769
    Запрошен билет проверки подлинности Kerberos(TGT). 4768

Ответы

  •  0x18 - это "Pre-authentication information was invalid", что обычно означает неверный пароль.

    Если блокировка по вводу неверного пароля настроена, то она может не происходить если ошибки при вводе пароля - одиночные: блокировка настраивается обычно при более чем одной неудачной попытке.

    На всякий случай проверьте репликацию между контроллерами домена, если у вас их несколько (repadmin /replsummary)


    Слава России!


    • Изменено M.V.V. _ 27 мая 2019 г. 14:37
    • Помечено в качестве ответа Razor1212007 28 мая 2019 г. 6:51

Все ответы

  • Коллеги, добрый день!

    С не определенной периодичностью появляются сообщение Аудит отказа от разных пользователей. Блокировка не происходит, аудит включен. Хотелось бы понимать с чем может быть это связано? 

    Сбой предварительной проверки подлинности Kerberos.  4771
    0x40810010

    Запрошен билет службы Kerberos. 4769
    Запрошен билет проверки подлинности Kerberos(TGT). 4768

    Недостаточно информации. Причин там может быть много и разных.

    Чтобы получить помощь, выкладывайте событие 4771 целиком (интересует больше всего поле FailureCode, но другие поля тоже могут быть интересны), ибо само по себе "0x40810010" (это - типичное значение Ticked Options) - это ниачом.


    Слава России!

  • Коллеги, добрый день!

    С не определенной периодичностью появляются сообщение Аудит отказа от разных пользователей. Блокировка не происходит, аудит включен. Хотелось бы понимать с чем может быть это связано? 

    Сбой предварительной проверки подлинности Kerberos.  4771
    0x40810010

    Запрошен билет службы Kerberos. 4769
    Запрошен билет проверки подлинности Kerberos(TGT). 4768

    Недостаточно информации. Причин там может быть много и разных.

    Чтобы получить помощь, выкладывайте событие 4771 целиком (интересует больше всего поле FailureCode, но другие поля тоже могут быть интересны), ибо само по себе "0x40810010" (это - типичное значение Ticked Options) - это ниачом.


    Слава России!


    Сбой предварительной проверки подлинности Kerberos.

    Сведения об учетной записи:
        Идентификатор безопасности:        WWW\user1
        Имя учетной записи:        user1

    Сведения о службе:
        Имя службы:        krbtgt/WWW

    Сведения о сети:
        Адрес клиента:        ::ffff:10.0.1.58
        Порт клиента:        51106

    Дополнительные сведения:
        Параметры билета:        0x40810010
        Код ошибки:        0x18
        Тип предварительной проверки подлинности:    2

    Сведения о сертификате:
        Имя поставщика сертификата:        
        Серийный номер сертификата:     
        Отпечаток сертификата:        

    Сведения о сертификате предоставляются только в том случае, если сертификат использовался для предварительной проверки подлинности.

    Типы предварительной проверки подлинности, параметры билета и коды ошибок определены в стандарте RFC 4120.

    Если билет был неправильно сформирован или поврежден при передаче и не может быть расшифрован, многие поля этого события могут отсутствовать.
  •  0x18 - это "Pre-authentication information was invalid", что обычно означает неверный пароль.

    Если блокировка по вводу неверного пароля настроена, то она может не происходить если ошибки при вводе пароля - одиночные: блокировка настраивается обычно при более чем одной неудачной попытке.

    На всякий случай проверьте репликацию между контроллерами домена, если у вас их несколько (repadmin /replsummary)


    Слава России!


    • Изменено M.V.V. _ 27 мая 2019 г. 14:37
    • Помечено в качестве ответа Razor1212007 28 мая 2019 г. 6:51
  •  0x18 - это "Pre-authentication information was invalid", что обычно означает неверный пароль.

    Если блокировка по вводу неверного пароля настроена, то она может не происходить если ошибки при вводе пароля - одиночные: блокировка настраивается обычно при более чем одной неудачной попытке.

    На всякий случай проверьте репликацию между контроллерами домена, если у вас их несколько (repadmin /replsummary)


    Слава России!


    Получается пользователь ввел неправильный пароль и прилетело событие. Настроена блокировка при вводе 5 неправильных.

    Я так понимаю с репликацией все хорошо


    Время запуска сводки по репликации: 2019-05-27 17:39:44

    Начат сбор данных для сводки по репликации, подождите:
      .....


    Исходный DSA        наиб. дельта     сбоев/всего %%   ошибка
     WWW1                    52m:40s    0 /   5    0
     WWW2                   50m:07s    0 /   5    0


    Конечный DSA        наиб. дельта      сбои/всего %%   ошибка
     WWW1                    50m:07s    0 /   5    0
     WWW2                   52m:40s    0 /   5    0

    А событие 4769?

    Запрошен билет службы Kerberos.

    Сведения об учетной записи:
        Имя учетной записи:        
        Домен учетной записи:        
        GUID входа:        {00000000-0000-0000-0000-000000000000}

    Сведения о службе:
        Имя службы:        
        Идентификатор службы:        NULL SID

    Сведения о сети:
        Адрес клиента:        ::ffff:10.0.1.40
        Порт клиента:        64943

    Дополнительные сведения:
        Параметры билета:        0x10002
        Тип шифрования билета:    0xFFFFFFFF
        Код ошибки:        0x20
        Службы передачи:    -

    Данное событие возникает каждый раз при запросе доступа к ресурсу, такому как компьютер или служба Windows.  Поле "Имя службы" указывает ресурс, доступ к которому запрашивался.

    Это событие можно связать с событиями входа Windows, сравнивая поля "GUID входа" каждого из событий.  Событие входа регистрируется на компьютере, к которому запрашивался доступ. Часто этот компьютер отличается от контроллера домена, выдавшего билет службы.


  • С репликацией всё в порядке.

    0x20 - это истечение срока действия. Судя по тому, что в параметрах билета в запросе установлен флаг обновления (0x2), это был запрос на обновление существующего билета. Срок возможного обновления тоже ограничен, как и срок действия билета, но c большим интервалом: по умолчанию - 7 дней.


    Слава России!