我的 DC 之间出现 Kerberos 预认证失败 - 事件 4771。我认为这是正常现象(自从我启用了附加日志记录以来,这种情况已经发生了很多年),但我找不到任何解释为什么它正在发生。
几点说明:
- 从域控制器
WENDEL
到域控制器发生STEVE
- 从来没想
STEVE
过WENDEL
…… STEVE
确实拥有 FSMO 角色。- DC 仍处于 2012r2 阶段,包括操作级别
所有活动都有相同的票务详情。
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
我已经完成了常规的 dcdiag 健全性检查,并没有发现任何异常。
答案1
这实际上是正常行为,您看到的是域凭据验证步骤,用于 FSMO PDC 仿真器角色持有者。所有未能通过某个 AD 帐户(用户或计算机)身份验证的 DC 服务器都会执行额外的验证步骤,尝试再次对 PDC 仿真器 DC 进行身份验证,以验证凭据在此期间没有更改。PDC 仿真器负责管理密码更新,因此始终知道最新的密码。
答案2
根据Microsoft 文档,Kerberos 身份验证失败 4771 事件(故障代码 0x18 和 Pre-Auth 类型 2)表示 Kerberos 预身份验证信息无效。当计算机失去域信任并发送错误密码时,可能会发生这种情况。我见过几种使计算机处于此状态的情况:1) 在没有重新建立域信任的情况下在 ADU&C 中强制重置计算机对象密码。2) 在 AD 中重新创建计算机对象。3) 客户端在一段时间内断网,无法将其计算机密码与域控制器重新同步。这些情况比大多数人想象的更常见,而且很难诊断,因为用户可以继续使用缓存的凭据登录这些计算机。如果有一个端口身份验证解决方案来验证计算机帐户,那么这些计算机的端口就会被关闭,并使问题更加明显。
您可以通过运行“测试工具/sc_query:[your_domain_name]”来自受影响的域客户端。
处于此状态的系统非常繁忙,并且还会生成 NETLOGON 错误事件(例如事件 ID 5722生成 4771 个事件的域控制器的系统日志中存在 NETLOGON 错误(例如 5805 和 6405)。您可以查询 DC 系统日志中的这些 NETLOGON 错误,以确定哪些系统可能存在域信任问题。这些事件可以在正常情况下发生,因此我只会关注每天生成超过 5 个 NETLOGON 错误的重复违规者。
这是一个 PowerShell 单行命令,您可以以域管理员身份运行它来导出包含所有域控制器中前几天 NETLOGON 错误的 CSV。
Invoke-Command -ComputerName (Get-ADDomainController -Filter * | Sort-Object Name).Name -ScriptBlock {Get-WinEvent -FilterHashtable @{Logname="System";id=5722,5805;StartTime=(Get-Date).AddDays(-1)} | Select-Object TimeCreated,@{L='LoggedBy';E={$_.MachineName}},ProviderName,Id,Message,@{L='FailingComputer';E={($_.Message -split "\s+")[6]}}} | Export-Csv -Path "$(Get-Date -format "yyyy-MM-dd")_NETLOGON_Errors.csv" -NoTypeInformation
我建议将受影响的系统之一重新加入域,看看是否能解决问题。
注意:根据我的经验,当在非 PDC 仿真器的域控制器上生成预身份验证失败时,域 PDC 仿真器将记录重复的 4771 事件,其中包含发生故障的域控制器的 IP 地址和密码错误的域客户端的 TargetUserName。在这种情况下,请关注事件的 TargetUserName,而不是 IP 地址。