none
Аудит отказа - Ошибка Kerberos 4768 RRS feed

  • Вопрос

  • Коллеги, добрый день.

    На одном из домен-контроллеров в журнале безопасности каждый час появляется около 50 сообщений такого рода:

    Аудит отказа, код 4768
    Запрошен билет проверки подлинности Kerberos(TGT).
    Сведения об учетной записи:
    Имя учетной записи: olduser
    Предоставленное имя сферы: DOMAIN.INT
    Идентификатор пользователя: NULL SID
    Сведения о службе:
    Имя службы: krbtgt/DOMAIN.INT
    Код службы: NULL SID
    Сведения о сети:
    Адрес клиента: ::1
    Порт клиента: 0
    Дополнительные сведения:
    Параметры билета: 0x40810010
    Код результата: 0x12
    Тип шифрования билета: 0xffffffff
    Тип предварительной проверки подлинности: -
    Сведения о сертификате:
    Имя поставщика сертификата:
    Серийный номер сертификата:
    Отпечаток сертификата:

    Пользователь olduser давно отключен, служб под ним не запущено на этом сервере точно, библиотеку планировщика вроде бы тоже проверил. Где ещё посмотреть возможный источник этого события?


    10 декабря 2020 г. 16:39

Все ответы

  • Привет,

    Посмотрите информацию из статьи: 4768(S, F): A Kerberos authentication ticket (TGT) was requested.

    Если разбирать Вашу ошибку и информацию в статье, то:

    0x40810010 - Forwardable, Renewable, Canonicalize, Renewable-ok

    0x12 - KDC_ERR_CLIENT_REVOKED - Client’s credentials have been revoked - This might be because of an explicit disabling or because of other restrictions in place on the account. For example: account disabled, expired, or locked out.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    11 декабря 2020 г. 10:22
    Модератор
  • Большое спасибо за ответ, но я спрашивал немного о другом.
    Пользователь отключен в AD, код результата 0x12 действительно, как Вы и говорите, именно на это указывает ( For example: account disabled)

    Вопрос - как найти, кто именно, что за процесс, создаёт каждый час по полсотни попыток аутентификации..

    14 декабря 2020 г. 13:51
  • Попробуйте посмотреть в Security log'е, возможно там будет PID процесса который пытается залогиниться с учеткой блокированного пользователя.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    21 декабря 2020 г. 9:52
    Модератор
  • Сергей, как успехи?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    28 декабря 2020 г. 8:43
    Модератор