域控制器上的Kerberos故障审计事件Id 4769
我在Windows 2012R2域控制器的安全事件日志中记录了平均每小时17-18次失败审计事件,这与Windows 2008 R2成员服务器获取Kerberos服务票的尝试有关。
A Kerberos service ticket was requested.
Account Information:
Account Name: TORPDC01$@ACME.COM
Account Domain: ACME.COM
Logon GUID: {00000000-0000-0000-0000-000000000000}
Service Information:
Service Name: krbtgt/ACME.COM
Service ID: S-1-0-0
Network Information:
Client Address: ::ffff:192.168.1.15
Client Port: 28904
Additional Information:
Ticket Options: 0x60810010
Ticket Encryption Type: 0xFFFFFFFF
Failure Code: 0xE
Transited Services: -
This event is generated every time access is requested to a resource such as a computer or a Windows service. The service name indicates the resource to which access was requested.
This event can be correlated with Windows logon events by comparing the Logon GUID fields in each event. The logon event occurs on the machine that was accessed, which is often a different machine than the domain controller which issued the service ticket.
Ticket options, encryption types, and failure codes are defined in RFC 4120.失败代码0xE表示不支持的身份验证类型。我已经用Wireshark监控了服务器之间的通信量,并且我看到Windows 2008R2服务器正在向域控制器发出请求,请求使用加密类型ee256-CTS-HMAC-SHA1-96启动会话。此请求被“加密类型不受支持”错误代码拒绝,审计失败记录在事件日志中。然后,Windows 2008服务器发送5种加密类型的列表,然后域控制器用选定的类型进行响应: ARCFOUR-HMAC-MD5。在此之后,流量将继续正常,我假设这2台服务器正在使用它们商定的加密参数。在这两个服务器之间没有其他问题。关于如何摆脱这些事件,有什么建议吗?这只是审计政策的问题吗?也许我可以强制Windows2008R2服务器使用不同的加密协议参数启动其请求?
回答 2
Server Fault用户
发布于 2017-02-26 19:28:53
您需要提高您的DFL使用‘更新’(大约2008年) AES加密类型。请注意,当从2003年起,krbtgt帐户密码将被更改(这两个密码都会),这可能会造成影响,因此您应该准备好重新启动服务器/服务以进行恢复。
此外,如果不需要DES加密类型,则不应该启用DES加密类型,甚至禁用RC4加密类型(仅使用RC4加密类型)也是首选的,如果它与您的环境兼容,因为RC4安全性不是最佳的。
有关更多信息,请参见以下内容:
Server Fault用户
发布于 2017-02-26 18:18:54
奇怪的是,2012年的R2 DC拒绝基于AES256的加密类型,因为它在默认情况下是支持的。是否有任何组策略在您的域中配置有目的地限制默认支持的加密类型?
我会在您的DC上运行RSOP报告,并检查配置的内容。特别是,请检查Windows Settings - Security Settings - Local Policies - Security Options部分。其中有一个名为网络安全:配置Kerberos允许的加密类型的设置,它可以被配置为不允许一个或多个AES算法。有些组织禁用此功能,以更好地支持不支持较新加密类型的遗留客户端。
https://serverfault.com/questions/834998
复制相似问题
腾讯云开发者
