自从换到 Windows 11 以来,我们有一些工作站不时尝试通过智能卡连接,但我们不使用智能卡。
该事件发生在计算机的帐户上,而不是用户的帐户上,这也很有趣。
事件 ID:AUDIT_FAILURE(4771)
域:[域/服务器]
SID:[sid]
帐户名称:[计算机帐户(不是用户帐户)]
服务名称:krbtgt/[域]
客户端地址:[ip]
端口:[端口]
票证选项:0x40810010
失败代码:0x10
预授权类型:16票证选项:0x40810010 - 可转发、可更新、规范化、可更新
1
可转发
(仅限 TGT)。告知票证授予服务,它可以根据所呈现的 TGT 颁发新的 TGT,并且根据所呈现的 TGT 具有不同的网络地址。8
可更新
与结束时间和更新至字段结合使用,导致在 KDC 定期更新长寿命的票证。15
名称规范化
为了请求引用,Kerberos 客户端必须明确请求 AS-REQ 或 TGS-REQ 的“规范化”KDC 选项。27
Renewable-ok
RENEWABLE-OK 选项表示如果无法提供具有请求有效期的票证,则可以接受可续订票证,在这种情况下,可以发出具有等于请求的结束时间的 renew-till 的可续订票证。renew-till 字段的值可能仍受本地限制或单个主体或服务器选择的限制。故障代码:0x10
KDC_ERR_PADATA_TYPE_NOSUPP
KDC 不支持 PADATA 类型(预身份验证数据)
正在尝试智能卡登录,但找不到正确的证书。此问题可能是因为查询了错误的证书颁发机构 (CA) 或无法联系正确的 CA 以获取域控制器的域控制器或域控制器身份验证证书。当域控制器没有安装智能卡证书(域控制器或域控制器身份验证模板)时,也可能会发生这种情况。预授权类型:16
PA-PK-AS-REQ
在智能卡身份验证场景中发送给 KDC 的请求。
我想让它停止,但我一直很难确定。想看看是否有其他人遇到过类似的事情并找到了解决方案。
答案1
也许在组策略编辑器中禁用
计算机配置 > 管理模板 > Windows 组件 > 智能卡