我们已经有一段时间了,各种用户,各种工作站,以及接近Netwrix报告我可以告诉,用户甚至没有被locking。 从字面上看,每分钟有成千上万的错误
03/02/2017 02:34:19 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4771 EventType=0 Type=Information ComputerName=dc.domain.org TaskCategory=Kerberos Authentication Service OpCode=Info RecordNumber=13185523462 Keywords=Audit Failure Message=Kerberos pre-authentication failed. Account Information: Security ID: S-1-5-21-1926054757-256335463-398547282-36898 Account Name: redacted Service Information: Service Name: krbtgt/DOMAIN.ORG Network Information: Client Address: ::ffff:10.101.28.31 Client Port: 50728 Additional Information: Ticket Options: 0x40810010 Failure Code: 0x18 Pre-Authentication Type: 2 我已经看过碳黑,我已经做了内存分析,我怀疑是密码过期,而用户的计算机被locking,然后造成问题,但经过一些testing后,消除。 我根本找不到任何共通点。 任何人都知道这个问题可能是什么或如何追踪?
如果故障单请求失败,则Windows将logging此事件,如果在“预authentication”期间出现问题,则logging失败4771或4768。 在Windows Kerberos中,密码validation在预authentication过程中进行。 您可以从4771获取详细信息- Kerberos预authentication失败
如果这样的错误是随机出现的,对于不同的用户,那么我们可以推理错误的input。 根据我的经验,当用户有多个电子邮件客户端和使用AD基础设施进行用户authentication的电子邮件服务器时,会出现大多数此类问题。 在这种情况下,我们需要调查问题的根源。 从这篇文章获取帮助如何解决Kerberos错误4771和locking的用户帐户 。
这里是另一个关于如何识别Active Directory中帐户locking源的信息