自五月以来,我们的报告工具显示,针对某些 DC 中名为host(不存在) 的帐户,多次身份验证尝试失败。
事件查看器将这些故障显示为 ID 4768 事件:
A Kerberos authentication ticket (TGT) was requested.
Account Information:
Account Name: host
Supplied Realm Name: CONTOSO.COM
User ID: NULL SID
Service Information:
Service Name: krbtgt/CONTOSO.COM
Service ID: NULL SID
Network Information:
Client Address: ::1
Client Port: 0
Additional Information:
Ticket Options: 0x40810010
Result Code: 0x6
Ticket Encryption Type: 0xFFFFFFFF
Pre-Authentication Type: -
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
有时,同一秒内会记录多个记录,然后有几分钟的“中断”才再次开始 - 这不是一个固定的时间表。
在其中一个 DC 上卸载 KB5014692 和 KB5014805 后,错误就不再发生了。但这显然不是解决办法。
这可能源于哪里?
编辑:突然间,其中一些事件不再来自任何来源::1,而是来自内部 Exchange 服务器 - 但并非所有 DC。我们每天统计有 25,000 次身份验证失败。
编辑2:在与 M$ 技术支持人员沟通数月后,他们的最终声明是(直接引用自 M$ 支持邮件):
禁用/停止事件 ID 4768
您可以使用以下命令删除 Kerberos 身份验证服务子类别的成功和失败审核来禁用或停止审核事件 4768。
auditpol /set /subcategory:"Kerberos Authentication Service" /success:disable而且,它可以安全地忽略,并且在某些情况下可以启用 高级审计中的一切都会产生大量的 不必要的日志
这是 M$ 支持第二次提出这个建议。
对我来说,这根本不是一个解决方案!在我们开始注意到这个确切的问题之前,增强审计日志甚至还没有启用。
答案1
我们遇到了同样的问题。请参阅本文以了解可能的解决方案:
在我们的案例中,我们仍在等待微软发布针对此问题的补丁,因为他们的 OOB 补丁不适用于 6 月发布的版本(该版本应该包含它,但似乎并未完全解决问题)。