服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 跟踪哪个进程/程序导致Kerberos预authentication错误(代码0x18)
Intereting Posts
什么是反向DNS? 更改login屏幕行为忽略回车键? Linux – 存储IOPS Windows AD域名更改的最佳时机 如何调整VMware硬盘文件? php.ini的变化没有任何影响 用.pcap创buildnetworking图 SBS2011由于问题而禁用SharePoint 思科UCS C240 M3机架服务器稳定的AMber灯 通过.NET应用程序的Windows身份validation – 网站文件夹是否需要读取访问权限? 如何设置IIS以将其用于我们的Intranet站点? 对于2台服务器计算机的简单复制,我应该使用glassfish复制还是ubuntu复制或其他? IPv6的IPv4pipe理介绍 在Ubuntu下安装的Windows分区中的MySQL数据文件夹不被MySQL接受 有没有防止服务器通过电子邮件发送特定地址(我们控制两个服务器/应用程序)的好方法?

跟踪哪个进程/程序导致Kerberos预authentication错误(代码0x18)

我们有一个域帐户,通过2个服务器中的1个被locking。 内置的审计只能告诉我们很多(从SERVER1,SERVER2locking)。

帐户在5分钟内被locking,似乎每分钟约有1个请求。

我最初尝试运行procmon(从sysinternals)来查看是否有任何新的PROCESS START在我解锁帐户后产生。 没有可疑的事情出现。 在我的工作站上运行procmon并升级到UAC shell(conscent.exe)后,在尝试对AD进行authentication时(不确定), ntdll.dllrpct4.dll似乎从堆栈中被调用。

有没有办法缩小哪个进程导致我们的DCauthentication请求? 它总是相同的DC,所以我们知道它必须是在该网站的服务器。 我可以尝试寻找wireshark的电话,但我不确定这将缩小哪个过程实际上触发它。

没有服务,驱动器映射或计划的任务正在使用该域帐户 – 所以它必须是具有存储域的信誉的东西。 在任何服务器(我们选中)都没有与该域帐户开放的RDP会话。

进一步说明

是,在问题DC上启用“成功/失败”login审计 – 在帐户实际被locking之前,不logging失败事件。

进一步挖掘显示,一旦帐户被解锁, LSASS.exe就会向有问题的DC发出KERBEROS呼叫。 它的前面(通常)是由java似乎被vpxd.exe调用,这是一个vCenter进程。 但是,当我看着另一个“server2”账户locking可以(也)发生时,我从来没有看到一个调用lsass.exe ,只有apache进程正在产生。 两者唯一的关系是SERVER2是SERVER1的vSphere集群(server1是vSphere OS)的一部分。

DC上的错误

所以,AD似乎所有我会告诉的是,这是一个预先authentication的Kerberos错误。 我查了一下,没有klist门票,为了以防万一。 仍然不知道是什么导致这个kerberos错误。 

 Index : 202500597 EntryType : FailureAudit InstanceId : 4771 Message : Kerberos pre-authentication failed. Account Information: Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848 Account Name: USER Service Information: Service Name: krbtgt/DOMAIN Network Information: Client Address: ::ffff:xxxx Client Port: 61450 Additional Information: Ticket Options: 0x40810010 Failure Code: 0x18 Pre-Authentication Type: 2 Certificate Information: Certificate Issuer Name: Certificate Serial Number: Certificate Thumbprint: Certificate information is only provided if a certificate was used for pre-authentication. Pre-authentication types, ticket options and failure codes are defined in RFC 4120. If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.

login事件logging尝试login的过程。 在本地安全策略(secpol.msc)中启用login审计失败(安全设置>本地策略>审计策略>审计login事件),然后查看安全事件日志中的事件。 您也可以通过组策略启用它,如果这是更可取的。

将会有一个进程信息部分logging可执行文件path和进程ID。

例: 

 Process Information: Process ID: 0x2a4 Process Name: C:\Windows\System32\services.exe

这是从上面的注释。 看起来这个职位的发起人在他最后的评论中表示。 Java调用vpxd.exe进程。

进一步的注意事项是,在所述DC上启用了“成功/失败”login审计 – 在账户实际被locking之前,不logging失败事件。

进一步挖掘显示,一旦帐户被解锁,LSASS.exe就会向有问题的DC发出KERBEROS呼叫。 它的前面(通常)是由java似乎被vpxd.exe调用,这是一个vCenter进程。 但是,当我看着另一个“server2”帐户locking可以(也)发生时,我从来没有看到一个调用lsass.exe,只有apache进程正在产生。 两者唯一的关系是SERVER2是SERVER1的vSphere集群(server1是vSphere OS)的一部分。

我今天花了很多时间,找出根本原因。 我错了方式 – 从捕获的信息与networking嗅探器(kerberos错误进程ID是566 = lsass.exe)。 让我总结一下资料。

  1. login到有问题的PC上,使用提升的权限运行powershell

  2. 启用审核login

    auditpol /set /subcategory:"logon" /failure:enable

  3. 检查来源

    Get-WinEvent -Logname 'Security' -FilterXPath "*[System[EventID=4625]]" -MaxEvents 2 | fl

如果你看到:

处理信息:

调用者进程ID:0x140

调用者进程名称:C:\ Windows \ System32 \ services.exe

这意味着你有一些服务运行从旧密码的问题帐户