नीचे ट्रैक करें कि कौन सी प्रक्रिया / कार्यक्रम केर्बेरोस पूर्व प्रमाणीकरण त्रुटि का कारण है (कोड 0x18)

12

हमारे पास एक डोमेन खाता है जिसे 2 में से 1 सर्वर के जरिए लॉक किया जा रहा है। बिल्ट-इन ऑडिटिंग हमें केवल इतना ही बताता है (SERVER1, SERVER2 से लॉक किया गया)।

खाता 5 मिनट के भीतर बंद हो जाता है, लगभग 1 अनुरोध प्रति मिनट ऐसा लगता है।

मैंने शुरू में procmon (sysinternals से) चलाने की कोशिश की कि क्या मैं खाता अनलॉक करने के बाद किसी नए PROCESS START को देखा जा रहा था। कुछ भी संदिग्ध नहीं है। मेरे कार्य केंद्र पर procmon चलाने के बाद और UAC शेल (conscent.exe) को ऊपर उठाने पर यह उस स्टैक की तरह लगता है जिसे कॉल किया जाता है ntdll.dllऔर rpct4.dllजब आप AD के खिलाफ ऑक्टेट करने का प्रयास करते हैं (निश्चित नहीं)।

क्या इस प्रक्रिया को कम करने के लिए वैसे भी हमारे डीसी के लिए प्रमाणीकरण अनुरोध हो रहा है? यह हमेशा एक ही डीसी होता है इसलिए हमें पता है कि यह उस साइट में एक सर्वर होना चाहिए। मैं वॉयरशार्क में कॉल की तलाश कर सकता था, लेकिन मुझे यकीन नहीं है कि यह नीचे संकुचित होगा जो वास्तव में इसे ट्रिगर कर रहा है।

कोई भी सेवा, ड्राइव मैपिंग या शेड्यूल किए गए कार्य उस डोमेन खाते का उपयोग नहीं कर रहे हैं - इसलिए यह कुछ ऐसा होना चाहिए जिसमें डोमेन क्रेडिट संग्रहीत हो। उस डोमेन खाते के साथ किसी भी सर्वर (हमने जाँच की) पर कोई खुला RDP सत्र नहीं हैं।

आगे नोट

हां, "सफलता / असफलता" लॉगऑन ऑडिट को डीसी में सक्षम किया जाता है - जब तक कि खाता वास्तव में लॉक न हो जाए, तब तक कोई विफलता की घटनाओं को लॉग नहीं किया जाता है।

आगे खुदाई से पता चलता है कि खाता अनलॉक होने पर डीसी को कॉल LSASS.exeकरता KERBEROSहै। यह जावा से पहले (आम तौर पर) होता है जिसे ऐसा कहा जाता है vpxd.exeजिसके द्वारा एक vCenter प्रक्रिया होती है। लेकिन, जब मैं दूसरे "सर्वर 2" को देखता हूं तो खाता लॉकआउट हो सकता है (भी) से होता है, मैं कभी भी कॉल को नहीं देखता हूं lsass.exeऔर केवल एपाचे प्रक्रियाओं को देखा जा रहा है। दोनों का एकमात्र संबंध यह है कि SERVER2 SERVER1 के vSphere क्लस्टर (सर्वर 1 का vSphere OS हो रहा है) का हिस्सा है।

डीसी पर त्रुटि

तो, ऐसा लगता है कि मैं एडी द्वारा बताई जा रही है कि यह एक पूर्व-केर्बरोस त्रुटि है। मैंने जाँच की और कोई टिकट नहीं klistथा और किसी भी तरह से फ्लश किया। अभी भी पता नहीं है कि इस kerberos त्रुटि के कारण क्या है।

Index              : 202500597
EntryType          : FailureAudit
InstanceId         : 4771
Message            : Kerberos pre-authentication failed.

                     Account Information:
                         Security ID:        S-1-5-21-3381590919-2827822839-3002869273-5848
                         Account Name:        USER

                     Service Information:
                         Service Name:        krbtgt/DOMAIN

                     Network Information:
                         Client Address:        ::ffff:x.x.x.x
                         Client Port:        61450

                     Additional Information:
                         Ticket Options:        0x40810010
                         Failure Code:        0x18
                         Pre-Authentication Type:    2

                     Certificate Information:
                         Certificate Issuer Name:
                         Certificate Serial Number:
                         Certificate Thumbprint:

                     Certificate information is only provided if a certificate was used for pre-authentication.

                     Pre-authentication types, ticket options and failure codes are defined in RFC 4120.

                     If the ticket was malformed or damaged during transit and could not be decrypted, then many fields
                      in this event might not be present.
windows  windows-server-2008  active-directory  kerberos 
जैगीन कांग
स्रोत

जवाबों:

5

लॉगऑन इवेंट लॉगऑन का प्रयास करते हुए प्रक्रिया रिकॉर्ड करते हैं। स्थानीय सुरक्षा नीति (secpol.msc) में विफल लॉगऑन ऑडिटिंग (सुरक्षा सेटिंग्स> स्थानीय नीतियां> ऑडिट पॉलिसी> ऑडिट लॉगऑन ईवेंट्स) सक्षम करें फिर किसी ईवेंट के लिए सुरक्षा ईवेंट लॉग में देखें। आप इसे समूह नीति के माध्यम से भी सक्षम कर सकते हैं, यदि यह बेहतर होगा।

एक प्रक्रिया सूचना अनुभाग होगा जो निष्पादन योग्य पथ और प्रक्रिया आईडी दोनों को रिकॉर्ड करता है।

उदाहरण:

Process Information:
    Process ID:         0x2a4
    Process Name:       C:\Windows\System32\services.exe
मिच
स्रोत
ऐसा लगता है कि यह पहले से ही हमारे GPO में था। मैं देख सकता हूं कि सुरक्षा लॉग में ऑब्जेक्ट कब संशोधित / अनलॉक हो जाता है, लेकिन मैं उसके बाद खराब प्रयास नहीं देखता हूं।
जैगीन कांग
@ जयकैंग, जब तक कि प्रश्न में सर्वर डीसी नहीं हैं, वे डिफ़ॉल्ट डोमेन नियंत्रक नीति में "ऑडिट फेल्ड लोगन्स" सेटिंग से प्रभावित नहीं होंगे। विफल लॉगऑन ईवेंट को प्रमाणीकरण का प्रयास करने वाले सर्वर द्वारा लॉग किया जाएगा और "डिफ़ॉल्ट डोमेन नीति" या उस सर्वर पर लागू होने वाली किसी अन्य कंप्यूटर नीति द्वारा सेट किया जाएगा।
मिच
मैं वास्तव में यह पता लगा लिया। मुझे ऑडिट सेटिंग्स के "उन्नत" अनुभाग में कुछ सेटिंग्स सेट करनी थीं। मैंने घटनाओं के साथ अपनी मूल पोस्ट को अपडेट किया।
जैगीन कांग
@ जयकांग, पूर्व-प्रमाणीकरण सिर्फ एक प्रक्रिया है जिसका उपयोग टोकन वापस करने से पहले क्रेडेंशियल्स को सत्यापित करने के लिए किया जाता है। प्रमाणीकरण का प्रयास करने वाले सर्वर पर अभी भी विफलता ऑडिट होना चाहिए जिसमें प्रक्रिया आईडी शामिल है।
मिच
क्या आप यह निर्धारित कर सकते हैं कि आपको कौन सी "उन्नत" सेटिंग सेट करनी थी?
skinneejoe
2

मैंने आज बहुत समय बिताया है और मूल कारण का पता लगा रहा हूं। मैं गलत तरीके से गया - नेटवर्क स्निफर के साथ कैप्चर की गई जानकारी (kerberos त्रुटि प्रक्रिया आईडी 566 = lsass.exe) थी। मुझे जानकारी संक्षेप में दें।

  1. समस्या पीसी पर लॉग ऑन करें, उन्नत अधिकारों के साथ शक्तियां चलाएं

  2. ऑडिट लॉगऑन सक्षम करें

    auditpol /set /subcategory:"logon" /failure:enable

  3. स्रोत की जाँच करें

    Get-WinEvent -Logname 'Security' -FilterXPath "*[System[EventID=4625]]" -MaxEvents 2 | fl

अगर आप देखें:

प्रक्रिया की जानकारी:

कॉलर प्रक्रिया आईडी: 0x140

कॉलर प्रक्रिया का नाम: C: \ Windows \ System32 \ services.exe

इसका मतलब है कि आपके पास पुराने पासवर्ड के साथ समस्या खाते से चलने वाली कुछ सेवा है

एलेक्स
स्रोत
2

मुझे एक अलग मुद्दे पर शोध करते समय यह पुराना सवाल मिला, लेकिन एक समान मुद्दे वाले किसी के लिए:

विफलता कोड 0x18 का अर्थ है कि ग्राहक द्वारा प्रमाणित करने का प्रयास किए जाने पर खाता पहले से ही अक्षम या बंद था।

आपको विफलता कोड 0x24 के साथ एक ही ईवेंट आईडी ढूंढनी होगी, जो खाते में लॉक होने के कारण विफल लॉगिन प्रयासों की पहचान करेगा। (यह मानता है कि यह कहीं न कहीं एक खराब पासवर्ड के कारण हो रहा है।)

फिर आप उन ईवेंट पर क्लाइंट एड्रेस देख सकते हैं कि कौन सा सिस्टम खराब क्रेडेंशियल पास कर रहा है। वहां से, आपको यह पता लगाना होगा कि क्या यह एक पुराने पासवर्ड, एक मैप्ड नेटवर्क ड्राइव, आदि के साथ एक सेवा है।

विफलता कोड की एक किस्म है, इसलिए आपको 0x18 के अलावा कुछ भी देखना चाहिए ताकि यह निर्धारित किया जा सके कि 0x24 कोड के साथ कोई घटना नहीं होने पर खाता लॉकआउट का कारण क्या है। मेरा मानना ​​है कि केवल एक प्रकार की असफलता से तालाबंदी हो जाएगी 0x24 (खराब पासवर्ड), लेकिन मैं गलत हो सकता है।

दोगुनी
स्रोत
नेक्रो पोस्ट के लिए क्षमा करें और टिप्पणी के रूप में नहीं डालने के लिए माफी ... मैंने अभी तक अपना 50p नहीं कमाया है। :-) विफलता कोड 0x18 एक पूर्व-प्रामाणिक विफलता है और लॉक किए गए खाते को इंगित नहीं करता है। एक लॉक खाता एक 0x18 कोड भी ट्रिगर कर सकता है, लेकिन मैं निरस्त क्रेडेंशियल के बजाय 0x12 की अपेक्षा करूंगा।
एसजेएम
0

यह ऊपर के नोटों से है। लगता है इस पोस्ट के सर्जक ने अपनी अंतिम टिप्पणी पर कहा। जावा कॉलिंग vpxd.exe प्रक्रिया।

इसके अलावा नोट्स हां, "सक्सेस / फेल्योर" लॉगऑन ऑडिट को डीसी में प्रश्न में सक्षम किया जाता है - जब तक कि खाता वास्तव में लॉक न हो जाए, तब तक कोई भी विफलता घटना लॉग नहीं होती है।

आगे खुदाई से पता चलता है कि खाता अनलॉक होने के बाद LSASS.exe डीसी में KERBEROS कॉल करता है। यह java द्वारा पूर्ववर्ती (आम तौर पर) है जिसे vpxd.exe द्वारा कहा जाता है जो एक vCenter प्रक्रिया है। लेकिन, जब मैं दूसरे "सर्वर 2" को देखता हूं तो खाता लॉकआउट हो सकता है (भी) से होता है, मैं कभी भी lsass.exe पर कॉल नहीं देखता और केवल अपाचे प्रक्रियाएं पैदा की जा रही हैं। दोनों का एकमात्र संबंध यह है कि SERVER2 SERVER1 के vSphere क्लस्टर (सर्वर 1 का vSphere OS हो रहा है) का हिस्सा है।

user354506
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.