Jai*_*ang 12 windows windows-server-2008 active-directory kerberos
我们有一个域帐户被 2 个服务器中的 1 个锁定。内置审计只告诉我们这么多(从 SERVER1、SERVER2 锁定)。
该帐户在 5 分钟内被锁定,似乎每分钟大约 1 个请求。
我最初尝试运行 procmon(来自 sysinternals)以查看在我解锁帐户后是否产生了任何新的 PROCESS START。没有任何可疑的东西出现。我的工作站上运行procmon中并提升到一个UAC外壳(conscent.exe)之后,它似乎是从堆栈中ntdll.dll和rpct4.dll当您试图权威性针对AD(不知道)被调用。
有没有办法缩小哪个进程向我们的 DC 发出身份验证请求?它总是同一个 DC,所以我们知道它必须是该站点中的服务器。我可以尝试在wireshark中查找调用,但我不确定这会缩小哪个进程实际触发它的范围。
也没有服务、驱动器映射或计划任务在使用该域帐户——因此它必须是存储了域凭据的东西。在任何服务器上都没有与该域帐户打开的 RDP 会话(我们检查过)。
是的,在有问题的 DC 上启用了“成功/失败”登录审核——在帐户实际被锁定之前不会记录任何失败事件。
进一步挖掘表明,一旦帐户被解锁,LSASS.exe就会KERBEROS调用有问题的 DC。它前面(通常)是java,它似乎vpxd.exe被一个vCenter进程调用。但是,当我查看另一个“server2”是否会(也)发生帐户锁定时,我从未看到调用lsass.exe并且只生成了 apache 进程。两者唯一的关系是 SERVER2 是 SERVER1 的 vSphere 集群的一部分(server1 是一个 vSphere 操作系统)。
因此,AD 似乎只告诉我这是一个预认证的 Kerberos 错误。我查了一下,没有票,klist无论如何还是冲了个水,以防万一。仍然不知道是什么导致了这个 kerberos 错误。
Index : 202500597
EntryType : FailureAudit
InstanceId : 4771
Message : Kerberos pre-authentication failed.
Account Information:
Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848
Account Name: USER
Service Information:
Service Name: krbtgt/DOMAIN
Network Information:
Client Address: ::ffff:x.x.x.x
Client Port: 61450
Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
Pre-authentication types, ticket options and failure codes are defined in RFC 4120.
If the ticket was malformed or damaged during transit and could not be decrypted, then many fields
in this event might not be present.
登录事件记录尝试登录的进程。在本地安全策略 (secpol.msc) 中启用失败登录审核(安全设置 > 本地策略 > 审核策略 > 审核登录事件),然后在安全事件日志中查找事件。如果更可取,您也可以通过组策略启用它。
将有一个进程信息部分,其中记录了可执行路径和进程 ID。
例子:
Process Information:
Process ID: 0x2a4
Process Name: C:\Windows\System32\services.exe