我在我的 DC 之间遇到 kerberos preauth 失败 - 事件 4771。我认为这是正常行为(它已经发生了多年,因为我启用了额外的日志记录),但我找不到任何关于它为什么发生的解释。
几点注意事项:
- 从域控制器
WENDEL到域控制器发生STEVE - 从来没有发生
STEVE过WENDEL。 STEVE确实拥有 FSMO 角色。- DC 仍在 2012r2 上,包括操作级别
所有活动都有相同的门票详细信息。
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
我已经完成了通常的 dcdiag 作为健全性检查,没有任何异常。
这实际上是正常行为,您看到的是 FSMO PDC 模拟器角色持有者的域凭据验证步骤。对某个 AD 帐户(用户或计算机)的身份验证失败的所有 DC 服务器都会执行额外的验证步骤,即尝试再次验证 PDC 模拟器 DC 以验证凭据同时没有更改。PDC 模拟器负责管理密码更新,因此始终知道最新的密码。
根据微软文档, Kerberos 身份验证失败 4771 事件(失败代码 0x18 和 Pre-Auth type 2)表示 Kerberos 预身份验证信息无效。当计算机失去对域的信任并发送错误的密码时,可能会发生这种情况。我见过几种情况使计算机进入这种状态: 1) 强制重置 ADU&C 中的计算机对象密码,而不重新建立域信任。2) 在 AD 中重新创建计算机对象。3) 客户端断网一段时间,无法与域控制器重新同步其计算机密码。这些情况比大多数人想象的更常见并且难以诊断,因为用户可以使用缓存的凭据继续登录这些计算机。
您可以通过从受影响的域客户端运行“ nltest.exe /sc_query:[your_domain_name]”来验证导致事件触发的计算机上的域信任关系(事件查看器中的帐户名称/事件 XML 中的 TargetUserName) 。
处于这种状态的系统非常健谈,并且还会在生成 4771 事件的域控制器的系统日志中生成 NETLOGON 错误事件(例如事件 ID 5722和 5805)。您可以在 DC 系统日志中查询这些 NETLOGON 错误,以确定哪些系统可能存在域信任问题。这些事件可能在正常情况下发生,所以我只关注每天产生超过 5 个 NETLOGON 错误的重复违规者。
这是一个 PowerShell 单行程序,您可以作为域管理员运行以导出包含所有域控制器的前几天 NETLOGON 错误的 CSV。
我建议将其中一个受影响的系统重新加入域,看看是否能解决问题。
注意:根据我的经验,当在不是 PDC-Emulator 的域控制器上生成预身份验证失败时,域 PDC-Emulator 将记录一个重复的 4771 事件,其中包含故障源自的域控制器的 IP 地址以及密码错误的域客户端的 TargetUserName。在这种情况下,请关注事件的 TargetUserName,而不是 IP 地址。