Active Directory 事件 4625 状态 0x80090308

tag-icon tag-icon active-directory windows-server-2012-r2 windows-event-log
Active Directory 事件 4625 状态 0x80090308

我有事件 4625 条目,其状态为 0x80090308,子状态为 0x0;占 4625 个事件的 2%。

这是一次失败的登录,没有信息可用于进一步查看。我不知道它是什么,也不知道它来自哪里。唯一的共同点是它每次都来自同一个 DC(四个 DC 中的一个)。

我使用 procmon.exe 来识别远程资源(登录类型 3),但在如此特定的时间范围内的所有连接和操作都成功了。

状态 0x80090308 未记录。

还有其他人遇到过这个错误代码吗?并且知道该去哪里查找吗?

An account failed to log on.

Subject:
  Security ID:  NULL SID
   Account Name:  -
   Account Domain:  -
   Logon ID:  0x0
Logon Type:  3
Account For Which Logon Failed:
   Security ID:  NULL SID
   Account Name: 
   Account Domain:  
Failure Information:
   Failure Reason:  An error has occured during logon
   Status:   0x80090308
   Sub Status:  0x0
Process Information:
   Caller Process ID: 0x0
   Caller Process Name: -
Network Information:
   Workstation Name: 
   Source Network Address: -
   Source Port:  -
Detailed Authentication Information:
      Logon Process:  
   Authentication Package: NTLM
   Transited Services: -
   Package Name (NTLM only): -
   Key Length:  0

答案1

有同样的需求,但在官方文档中找不到任何内容

由于某种原因,当我搜索错误时,我需要:https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/authentication-fails-non-windows-ntlm-kerberos-server

使用 Copilot 时:

“错误代码 0x80090308 通常发生在身份验证失败的情况下。让我们深入了解一下细节:

症状:

  • 支持通道绑定的 Windows 客户端无法通过非 Windows Kerberos 服务器进行身份验证。
  • 代理服务器的 NTLM 身份验证失败。
  • 非 Windows NTLM 服务器的 NTLM 身份验证失败。
  • 当客户端与域控制器 (DC) 或工作组服务器之间存在时间差时,NTLM 身份验证失败。

原因:

  • Windows 7 和 Windows Server 2008 R2 支持集成身份验证的扩展保护,默认情况下包括对通道绑定令牌 (CBT) 的支持。
  • 当客户端连接到服务器时,身份验证请求将绑定到所使用的服务主体名称 (SPN)。
  • 此外,当身份验证发生在传输层安全性 (TLS) 通道内时,它可以绑定到该通道。
  • NTLM 和 Kerberos 在其消息中提供了附加信息来支持此功能。
  • Windows 7 和 Windows 2008 R2 计算机禁用 LMv2。

解决:

  • 对于非 Windows NTLM 或 Kerberos 服务器在接收 CBT 时发生故障,请咨询供应商以获取可以正确处理 CBT 的版本。
  • 对于非 Windows NTLM 服务器或代理服务器需要 LMv2 的故障,请咨询供应商以获取支持 NTLMv2 的版本。

解决方法:

  • 要控制扩展保护行为,请创建以下注册表子项:
    • 密钥名称: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    • 值名称:SuppressExtendedProtection
    • 类型:DWORD
  • 对于支持通道绑定但无法通过无法正确处理 CBT 的非 Windows Kerberos 服务器进行身份验证的 Windows 客户端:
    • 将注册表项值设置为 0x01。这将配置 Kerberos 不为未修补的应用程序发出 CBT 令牌。
    • 如果问题仍然存在,请将注册表项值设置为 0x03,这将配置 Kerberos 永远不会发出 CBT 令牌。

免责声明 发现于https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-erref/1bc92ddf-b79e-413c-bbaa-99a5281a6c90

更具体地说是:https://winprotocoldoc.blob.core.windows.net/productionwindowsarchives/MS-ERREF/%5bMS-ERREF%5d.pdf

0x80090308 SEC_E_INVALID_TOKEN-> 提供给该函数的令牌无效。

相关内容