多次发生 4771 Kerberos 预身份验证失败事件后帐户不会被锁定

多次发生 4771 Kerberos 预身份验证失败事件后帐户不会被锁定

这似乎是我在网上发现的大多数问题的反面。

我看到生成了大量 4771 Kerberos 预身份验证失败事件,错误代码为 0x18。

这告诉我这是一个错误的密码。我检查了用户的帐户,发现它没有被锁定,尽管它应该达到触发 GPO 进行帐户锁定的阈值。我运行 AD 锁定工具,发现 AD 列出了错误密码计数为 0 的帐户,最后一次错误密码是 2 天前。我确实注意到我们的环境中有大约 4740 个事件,因此我们正在记录这些事件。

为什么帐户会生成 4771 个 Kerberos 预身份验证失败事件,但不会被 AD 锁定工具锁定或注册为错误密码?

Event Code = 4771 && Error Code = 0x18
Count = 487 in the previous 10 minutes

Event Code = 4740
Count = 0

GPO:
Enforcement Password History = 5 passwords
Account Lockout Threshold = 5 invalid logon attempts

相关内容