Наши три контроллера домена Active Directory сообщают вместе о тысячах Kerberos ошибка предварительной аутентификации ' событий в неделю, где поле IpAddress
относится к контроллеру домена (но всегда другой), а поле TargetSid
- к домену Учетная запись администратора . Глядя на все эти конкретные события, я также заметил, что - за исключением поля EventData / Ipport
, которое является случайным, и поля EventData / Ipaddress
, которое всегда является контроллером домена - - все остальные поля EventData
всегда имеют одно и то же значение.
Контроллеры домена совершенно новые, и Администратор не используется на этих машинах. Не запускать службу, не запускать задачи, ни для чего другого. Я на 99,99% уверен, что это не взломанный контроллер домена. Наши контроллеры домена исправны, dcdiag / q
не сообщает о каких-либо проблемах.
Я не понимаю, что происходит, и мне нужна помощь в понимании этих конкретных событий и почему они сообщаются. Вот одно из событий:
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
<System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-a5ba-3e3b0328c30d}'/>
<EventID>4771</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14339</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2020-11-23T14:52:18.851767600Z'/>
<EventRecordID>49462065</EventRecordID>
<Correlation/>
<Execution ProcessID='652' ThreadID='2348'/>
<Channel>Security</Channel>
<Computer>dc01.company.local</Computer>
<Security/>
</System>
<EventData>
<Data Name='TargetUserName'>Administrator</Data>
<Data Name='TargetSid'>S-1-5-21-xxxxxxxxx-xxxxxxxxx-xxxxxxxxx-500</Data>
<Data Name='ServiceName'>krbtgt/COMPANY.LOCAL</Data>
<Data Name='TicketOptions'>0x40810010</Data>
<Data Name='Status'>0x18</Data>
<Data Name='PreAuthType'>2</Data>
<Data Name='IpAddress'>::ffff:10.12.22.11</Data>
<Data Name='IpPort'>53321</Data>
<Data Name='CertIssuerName'></Data>
<Data Name='CertSerialNumber'></Data>
<Data Name='CertThumbprint'></Data>
</EventData>
</Event>
Эта страница содержит подробное объяснение каждого поля 4771 событий предварительной аутентификации Kerberos.
Код ошибки состояния 0x18 указывает на то, что был предоставлен неверный пароль. IP-адрес является источником этого сбоя. Вам следует просмотреть журнал безопасности на исходном хосте события сбоя и найти идентификатор события 4625 в журнале событий сбоя для учетной записи администратора. Это событие предоставит вам информацию, необходимую для идентификации процесса, создающего журнал ошибок.
Вам также следует переименовать учетную запись администратора SID-500. Это может непреднамеренно остановить события 4771, так как ошибки входа в систему больше не будут сопоставляться с действительным участником домена. Я бы очень серьезно отнесся к любым ошибкам при входе в систему, пока они не будут должным образом объяснены. Удачи!