4771 错误数量巨大,无法确定来源

4771 错误数量巨大,无法确定来源

我们遇到这个问题已经有一段时间了,不同的用户,不同的工作站,而且据我从 Netwrix 报告可以看出,用户甚至没有被锁定。实际上每分钟都会看到数千个以下错误

03/02/2017 02:34:19 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4771
EventType=0
Type=Information
ComputerName=dc.domain.org
TaskCategory=Kerberos Authentication Service
OpCode=Info
RecordNumber=13185523462
Keywords=Audit Failure
Message=Kerberos pre-authentication failed.

Account Information:
    Security ID:        S-1-5-21-1926054757-256335463-398547282-36898
    Account Name:       redacted

Service Information:
    Service Name:       krbtgt/DOMAIN.ORG

Network Information:
    Client Address:     ::ffff:10.101.28.31
    Client Port:        50728

Additional Information:
    Ticket Options:     0x40810010
    Failure Code:       0x18
    Pre-Authentication Type:    2

我查看了 Carbon Black,进行了内存分析,怀疑是用户计算机锁定时密码过期导致的问题,但经过一些测试后排除了这一可能性。我找不到任何共同点。有人知道问题可能是什么或如何追踪它吗?

答案1

如果票证请求失败,Windows 将记录此事件、失败 4771 或 4768(如果问题发生在“预身份验证”期间)。在 Windows Kerberos 中,密码验证在预身份验证期间进行。您可以从中获取详细信息4771 – Kerberos 预身份验证失败

如果此类错误随机出现且针对不同的用户,那么我们可以推测是输入错误。根据我的经验,大多数此类问题都是在用户拥有多个电子邮件客户端和使用 AD 基础架构进行用户身份验证的电子邮件服务器时出现的。在这种情况下,我们需要调查问题的根源。从这篇文章中获取帮助如何解决 Kerberos 错误 4771 和锁定的用户帐户

这是另一篇信息丰富的文章如何识别 Active Directory 中帐户锁定的来源

相关内容