none
Аудит отказов на DC - EventID:529 от NT AUTHORITY\LOCAL SERVICE RRS feed

  • Общие обсуждения

  • Всем привет. Есть домен в режиме 2003, сервера на ОС: w2k3 R2 SP2.

    На одном из dc ежедневно, последние несколько дней по тысяче событий 529 в день:

    33164,Security,Security,AUDIT FAILURE,dc1,23.04.2012 7:58:58,529,SYSTEM\NT AUTHORITY,Сбой входа в систему:     Причина: неизвестное имя пользователя или неверный пароль     Пользователь: NT AUTHORITY\LOCAL SERVICE     Домен:  domain     Тип входа: 3     Процесс входа: NtLmSsp      Пакет проверки: NTLM     Рабочая станция: mosssrv1     Имя вызывающего пользователя: -     Домен вызывающего: -     Код входа вызывающего: -     Код процесса вызывающего: -     Промежуточные службы: -     Адрес сети источника: 192.168.2.152     Порт источника: 1282   

    ...

    повторные события аналогичные, меняется только порт. 

    Сам mosssrv1(192.168.2.152) - является доменным сервером SharePoint 2007, который проверил сканерами, антивирусами, anti-malware. Журналы на нем без ошибок и предупреждений. Время синхронизированно ок.

    На dc ошибок и предупреждений нету.

    ...

    На mosssrv1 включаю kerberos log, после чего периодически появляются ошибки Kerberos 3:

    Тип события: Ошибка
    Источник события: Kerberos
    Категория события: Отсутствует
    Код события: 3
    Дата:  23.04.2012
    Время:  17:02:21
    Пользователь:  Н/Д
    Компьютер: mosssrv1
    Описание:
    A Kerberos Error Message was received:
             on logon session
     Client Time:
     Server Time: 14:2:21.0000 4/23/2012 Z
     Error Code: 0xd KDC_ERR_BADOPTION
     Extended Error: 0xc00000bb KLIN(0)
     Client Realm:
     Client Name:
     Server Realm: domain.com
     Server Name: host/mosssrv1.domain.com
     Target Name: host/mosssrv1.domain.com@domain.com
     Error Text:
     File: 9
     Line: b22
     Error Data is in record data.

    Дополнительные сведения можно найти в центре справки и поддержки, в ....

    Описание:
    0xD - KDC_ERR_BADOPTION: KDC cannot accommodate requested option
    Associated internal Windows error codes
    • STATUS_NO_MATCH
    Corresponding debug output messages
    • DebugLog(“Asked for forwarded but not allowed\n”)
    • DebugLog(“Asked for proxy but not allowed\n”)
    • DebugLog(“Asked for postdate but not allowed\n”)
    • D_DebugLog(“s4u set, but no ticket\n”)
    • D_DebugLog(“Couldn’t decrypt evidence ticket %x\n”)
    • D_DebugLog(“Trying to mix S4U proxy and self requests\n”)
    • D_DebugLog(“KLIN(%x) Client %wZ sent AS request with no server name\n”)
    • D_DebugLog(“KLIN(%x) Attempt made to renew non-renewable ticket\n”)
    • DebugLog(“Client tried to use pkinit w/o client cert\n”)
    • DebugLog(“User supplied bad cert type: %d\n”)
    Possible Causes and Resolutions:
    • Impending expiration of a TGT.
    Resolution
    Confirm the cause by verifying the expiration time on the TGT. To do this, use the Kerberos List parameter tgt. If you confirm that this is the cause, you need do nothing more, because the TGT will be automatically renewed or a new one will be requested if needed. For example, Windows XP and Windows Server 2003 will recover from this automatically.
    • The SPN to which the client is attempting to delegate credentials is not in its Allowed-to-delegate-to list.
    Resolution

    1. Use Network Monitor to determine the SPN to which the client is attempting to delegate credentials. You will need this information in a later step.
    2. Click Start, click Run, and then open Active Directory Users and Computers by typing the following:
    dsa.msc
    3. Right-click the user or service account that has problems authenticating, and then click Properties.
    4. Click the Delegation tab.
    5. The Allowed-to-delegate-to list is the list of servers shown under the heading, Services to which this account can present delegated credentials.
    6. Add the SPN the client is attempting to delegate to (information from the captured data you obtained in Step 1) to the Allowed-to-delegate-to list for that client. This will tell the KDC that this client is indeed allowed to authenticate to this service. The KDC will then grant the client the appropriate ticket.

    ...

    SPN: setspn -L mosssrv1

    WSMAN/mosssrv1.domain.com
    WSMAN/Mosssrv1
    HOST/MOSSSRV1
    HOST/Mosssrv1.domain.com

    ...

    В Network Monitor по Kerberos между dc1 и mosssrv1 только три события:

    KERBEROS: KRB_TGS_REQ

    KERBEROS: Kerberos Packet (Cont.) Use Coalescer to view contents

    KERBEROS: KRB_ERROR

    Сама ошибка KRB_ERROR:

    KERBEROS: Server time (stime[4]) = 24.04.2012 8:30:55  (хотя реально правильное время в этот момент 11:30 )
    KERBEROS: Error code (error-code[6]) = KDC cannot accomodate requested option
    KERBEROS: Correct realm (realm[9]) = DOMAIN.COM
    KERBEROS: Correct server name (sname[10]) = host/mosssrv1.domain.com
    KERBEROS: Error data (e-data[12])

    В чем может быть проблема и в каком направлении дальше разбираться?


    24 апреля 2012 г. 8:56

Все ответы

  • Настройте сервер на внешний источник времени и проверьте временную зону.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    Модератор
  • Настройте сервер на внешний источник времени и проверьте временную зону.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html


          Перенастроил на внешний. С временной зоной все ок
  • После синхронизации с ним, ошибка остается?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    Модератор
  • После синхронизации с ним, ошибка остается?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

     К сожалению да.
  • Рекомендацию из журнала ошибки вы пробовали?

    Resolution
    Confirm the cause by verifying the expiration time on the TGT. To do this, use the Kerberos List parameter tgt. If you confirm that this is the cause, you need do nothing more, because the TGT will be automatically renewed or a new one will be requested if needed. For example, Windows XP and Windows Server 2003 will recover from this automatically.
    • The SPN to which the client is attempting to delegate credentials is not in its Allowed-to-delegate-to list.
    Resolution

    1. Use Network Monitor to determine the SPN to which the client is attempting to delegate credentials. You will need this information in a later step.
    2. Click Start, click Run, and then open Active Directory Users and Computers by typing the following:
    dsa.msc
    3. Right-click the user or service account that has problems authenticating, and then click Properties.
    4. Click the Delegation tab.
    5. The Allowed-to-delegate-to list is the list of servers shown under the heading, Services to which this account can present delegated credentials.
    6. Add the SPN the client is attempting to delegate to (information from the captured data you obtained in Step 1) to the Allowed-to-delegate-to list for that client. This will tell the KDC that this client is indeed allowed to authenticate to this service. The KDC will then grant the client the appropriate ticket.

    Ну и как вариант - Kеrberos не может выдать билет из-за сменившегося пароля компьютера - для этого есть вот такой хотфикс: http://support.microsoft.com/default.aspx?scid=kb;EN-US;918442. Вероятность мала, т.к. это поведение должны были поправить как раз в SP2 - но попробуйте.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    Модератор
  • Уважаемый пользователь!



    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    Модератор
  • Тема переведена в разряд обсуждений по причине отсутствия активности


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    Модератор
  • Рекомендацию из журнала ошибки вы пробовали?

    Resolution
    Confirm the cause by verifying the expiration time on the TGT. To do this, use the Kerberos List parameter tgt. If you confirm that this is the cause, you need do nothing more, because the TGT will be automatically renewed or a new one will be requested if needed. For example, Windows XP and Windows Server 2003 will recover from this automatically.
    • The SPN to which the client is attempting to delegate credentials is not in its Allowed-to-delegate-to list.
    Resolution

    1. Use Network Monitor to determine the SPN to which the client is attempting to delegate credentials. You will need this information in a later step.
    2. Click Start, click Run, and then open Active Directory Users and Computers by typing the following:
    dsa.msc
    3. Right-click the user or service account that has problems authenticating, and then click Properties.
    4. Click the Delegation tab.
    5. The Allowed-to-delegate-to list is the list of servers shown under the heading, Services to which this account can present delegated credentials.
    6. Add the SPN the client is attempting to delegate to (information from the captured data you obtained in Step 1) to the Allowed-to-delegate-to list for that client. This will tell the KDC that this client is indeed allowed to authenticate to this service. The KDC will then grant the client the appropriate ticket.

    Ну и как вариант - Kеrberos не может выдать билет из-за сменившегося пароля компьютера - для этого есть вот такой хотфикс: http://support.microsoft.com/default.aspx?scid=kb;EN-US;918442. Вероятность мала, т.к. это поведение должны были поправить как раз в SP2 - но попробуйте.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    Спасибо за вариант. По результатам отпишусь.
    1 июня 2012 г. 12:32