域控制器上的Kerberos失败审核事件ID 4769

我在Windows 2012R2域控制器的安全事件日志中logging的平均每小时17-18次失败审核事件与Windows 2008R2成员服务器获取Kerberos服务票据的尝试有关

A Kerberos service ticket was requested. Account Information: Account Name: TORPDC01$@ACME.COM Account Domain: ACME.COM Logon GUID: {00000000-0000-0000-0000-000000000000} Service Information: Service Name: krbtgt/ACME.COM Service ID: S-1-0-0 Network Information: Client Address: ::ffff:192.168.1.15 Client Port: 28904 Additional Information: Ticket Options: 0x60810010 Ticket Encryption Type: 0xFFFFFFFF Failure Code: 0xE Transited Services: - This event is generated every time access is requested to a resource such as a computer or a Windows service. The service name indicates the resource to which access was requested. This event can be correlated with Windows logon events by comparing the Logon GUID fields in each event. The logon event occurs on the machine that was accessed, which is often a different machine than the domain controller which issued the service ticket. Ticket options, encryption types, and failure codes are defined in RFC 4120. 

失败代码0xE表示不支持的身份validationtypes。 我用Wireshark监视了服务器之间的stream量,我发现Windows 2008R2服务器正在向域控制器发出一个请求,使用encryptiontypesaes256-cts-hmac-sha1-96启动一个会话。 此请求被“不支持的encryptiontypes”错误代码拒绝,审核失败logging在事件日志中。 然后,Windows 2008服务器发送一个5种encryptiontypes的列表,域控制器使用所选typesARCFOUR-HMAC-MD5进行响应。 之后,stream量继续正常,我假设2台服务器正在使用他们同意的encryption参数。 这两台服务器之间没有其他的问题。 有关如何摆脱这些事件的任何build议? 这只是一个审计政策的问题? 也许我可以强制Windows 2008R2服务器以不同的一组encryption协议参数启动它的请求?

您需要提高DFL以使用“更新”(大约2008年)的AESencryptiontypes。 请注意,从2003年开始,krbtgt帐户密码将被更改(两者都有),这可能会造成影响,所以您应该准备好重新启动服务器/服务以根据需要进行恢复。

此外,如果您不需要它,则不应启用DESencryptiontypes,甚至禁用RC4encryptiontypes并仅使用AES,如果它与您的环境兼容,则RC4安全性不理想。

请参阅以下内容获取更多信息:

https://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels(v=ws.10).aspx

这里奇怪的是2012 R2 DC拒绝基于AES256的encryptiontypes,因为它默认支持。 您的域中是否configuration了任何组策略,有意限制默认支持的encryptiontypes?

我会在您的DC上运行一个RSOP报告并查看configuration的内容。 特别是,检查Windows Settings - Security Settings - Local Policies - Security Options部分。 在那里有一个名为networking安全的设置:configurationKerberos允许的encryptiontypes ,可以configuration为禁止一个或多个AESalgorithm。 有些组织禁用此function可以更好地支持不支持较新encryptiontypes的旧版客户端。