这似乎是我在网上发现的大多数问题的反面。
我看到生成了大量 4771 Kerberos 预身份验证失败事件,错误代码为 0x18。
这告诉我这是一个错误的密码。我检查了用户的帐户,发现它没有被锁定,尽管它应该达到触发 GPO 进行帐户锁定的阈值。我运行 AD 锁定工具,发现 AD 列出了错误密码计数为 0 的帐户,最后一次错误密码是 2 天前。我确实注意到我们的环境中有大约 4740 个事件,因此我们正在记录这些事件。
为什么帐户会生成 4771 个 Kerberos 预身份验证失败事件,但不会被 AD 锁定工具锁定或注册为错误密码?
Event Code = 4771 && Error Code = 0x18
Count = 487 in the previous 10 minutes
Event Code = 4740
Count = 0
GPO:
Enforcement Password History = 5 passwords
Account Lockout Threshold = 5 invalid logon attempts