大佬教程收集整理的这篇文章主要介绍了windows – 追踪哪个进程/程序导致Kerberos预身份验证错误(代码0x18),大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
该帐户在5分钟内被锁定,似乎每分钟约1个请求.
我最初尝试运行prOCMon(来自sysinternals),看看在解锁帐户后是否有任何新的PROCESS START被生成.没有任何可疑的事情出现.在我的工作站上运行prOCMon并升级到UAC shell(conscent.exE)之后,当您尝试对AD进行身份验证(不确定)时,似乎从堆栈中调用了ntdll.dll和rpct4.dll.
无论如何要缩小哪个进程导致对DC的身份验证请求?它总是相同的DC,所以我们知道它必须是该站点中的服务器.我可以尝试在wireshark中查找调用,但我不确定这会缩小哪个进程实际触发它.
没有服务,驱动器映射或计划任务正在使用该域帐户 – 因此它必须是存储域信誉的东西.在任何服务器(我们已检查)上都没有与该域帐户的开放RDP会话.
进一步说明
是,“成功/失败”登录审核在相关DC上启用 – 在实际锁定帐户之前不会记录任何故障事件.
进一步挖掘表明,一旦帐户解锁,LSASs.exe就会向DC提出KERBEROS呼叫.它(通常)在java之前,似乎由vpxd.exe调用,这是一个vCenter进程.但是,当我看到另一个“server2”时,帐户锁定可以(也)发生,我从未看到对lsass.exe的调用,只有apache进程正在生成.两者唯一的关系是SERVER2是SERVER1的vSphere集群(server1是vSphere OS)的一部分.
DC出错
所以,AD似乎告诉我的是,这是一个pre-auth Kerberos错误.我检查过并且没有klist的门票,并且为了以防万一而做了冲洗.仍然不知道是什么导致了这个kerberos错误.
Index : 202500597 EntryType : FailureAudit InstancEID : 4771 message : Kerberos pre-authentication Failed. Account Information: Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848 Account Name: USER service Information: service Name: krbtgt/DOMAIN Network Information: client address: ::ffff:x.x.x.x Client Port: 61450 Additional Information: Ticket Options: 0x40810010 Failure Code: 0x18 Pre-Authentication Type: 2 Certificate Information: Certificate Issuer Name: Certificate serial number: Certificate Thumbprint: Certificate information is only provided if a certificate was used for pre-authentication. Pre-authentication types,ticket options and failure codes are defined in RFC 4120. If the ticket was malformed or damaged during transit and Could not be decrypted,then many fields in this event might not be present.
以上是大佬教程为你收集整理的windows – 追踪哪个进程/程序导致Kerberos预身份验证错误(代码0x18)全部内容,希望文章能够帮你解决windows – 追踪哪个进程/程序导致Kerberos预身份验证错误(代码0x18)所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。