我们遇到这个问题已经有一段时间了,不同的用户,不同的工作站,而且据我从 Netwrix 报告可以看出,用户甚至没有被锁定。实际上每分钟都会看到数千个以下错误
03/02/2017 02:34:19 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4771
EventType=0
Type=Information
ComputerName=dc.domain.org
TaskCategory=Kerberos Authentication Service
OpCode=Info
RecordNumber=13185523462
Keywords=Audit Failure
Message=Kerberos pre-authentication failed.
Account Information:
Security ID: S-1-5-21-1926054757-256335463-398547282-36898
Account Name: redacted
Service Information:
Service Name: krbtgt/DOMAIN.ORG
Network Information:
Client Address: ::ffff:10.101.28.31
Client Port: 50728
Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
我查看了 Carbon Black,进行了内存分析,怀疑是用户计算机锁定时密码过期导致的问题,但经过一些测试后排除了这一可能性。我找不到任何共同点。有人知道问题可能是什么或如何追踪它吗?
答案1
如果票证请求失败,Windows 将记录此事件、失败 4771 或 4768(如果问题发生在“预身份验证”期间)。在 Windows Kerberos 中,密码验证在预身份验证期间进行。您可以从中获取详细信息4771 – Kerberos 预身份验证失败
如果此类错误随机出现且针对不同的用户,那么我们可以推测是输入错误。根据我的经验,大多数此类问题都是在用户拥有多个电子邮件客户端和使用 AD 基础架构进行用户身份验证的电子邮件服务器时出现的。在这种情况下,我们需要调查问题的根源。从这篇文章中获取帮助如何解决 Kerberos 错误 4771 和锁定的用户帐户。
这是另一篇信息丰富的文章如何识别 Active Directory 中帐户锁定的来源