登录
Microsoft.com
 
Microsoft
 
 
 

none
DC上有大量“Kerberos 预身份验证失败”的报错 RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    Win2016的AD环境,发现DC上有大量“Kerberos 预身份验证失败”的报错(下图),查到文档说0x18的失败代码代表密码错误。用户访问一些Web应用(比如Exchange的OWA、SharePoint等)会报用户名密码错误,但实际上经过确认用户的密码肯定没有错误,因为用户用同样的密码登录电脑、访问文件共享等都是正常的;也没有账号过期、锁定等问题。不知道这些报错是什么原因?




    2022年8月12日 10:27
    |

全部回复

  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    请问您从您这个域控上的事件ID 4771里,已经知道了是某一台客户端上的某一个账号发送到域控上的身份验证信息了,对吗?

    如果是的话,请在这台客户端上检查(包括但不限于以下)是否有以下的信息:
    1.检查凭据管理看是否有缓存用户的旧的凭据 (控制面板)
    2.检查是否有使用错误密码挂载网盘
    3.检查是否有使用该用户错误密码启动服务,运行计划任务等
    4.是否有其他三方程序缓存有用户的错误密码


    希望上述的回复对您有帮助。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2022年8月15日 5:22
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    Hi Daisy,

    感谢你的答复。

    我确认了用户的电脑,没有你提到的4种情况。我汇总了一下故障的症状:

    1. 用户可以正常登录电脑,访问网络共享盘等资源。

    2. 用户不能访问一些需要用域账号登录的网页应用,比如Exchange的OWA、SharePoint等,提示用户名或密码错误。并且用户每次在网页输入提交密码时,DC上都能查到对应的4771事件。这种情况会不时发生,几小时前能正常使用网页应用,过几小时后再登录却提示密码错误。

    3. 如果在DC上重置用户账号的密码,则用户访问能恢复正常。

    让我不解的是,用户能正常登录电脑访问网络共享盘,说明密码是正确的。但用同样的密码访问各种网页应用,却提示密码错误。


    2022年8月16日 0:43
    |
  • Question
    登录进行投票
    0
    登录进行投票

    尊敬的客户,您好!

    感谢您的回复。

    1.请问有多少账号出现这样的情况啊?

    2.如果只有一个账号出现这样的问题,请问如果这个账号换一台电脑,也会出现这样的问题吗?

    3.因为您提到网页登录出现这样的问题,如果可以的话,请尝试在浏览器里(如果有多个浏览器,都去删除一下)删除缓存的账号以及密码,看看是否有用呢。


    另外,您的AD域有多少台域控啊?您可以去检查一下AD复制正常吗?

    请使用如下命令在主域控上运行,如果命令的结果都是正常的(没有任何报错),那就表明AD复制应该都是正常的。

    repadmin /showrepl >c:\repsum1.txt

    repadmin /replsum >c:\repsum2.txt
     
    repadmin /showrepl * /csv >c:\repsum.csv





    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2022年8月16日 5:58
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    请问这个帖子里的问题是否解决了呢?

    对于这个帖子,如果您还有任何相关的问题,请随时告知我们。我们很高兴帮助您。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2022年8月19日 1:13
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    好几天没有收到您的消息了,请问对于这个帖子您还有什么其他问题吗?

    如果已经解决了的话,您能分享一下解决方案就最好了。

    如果您还有任何与此帖子相关的问题,请随时回复此贴。

    感谢您的理解和支持。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2022年8月23日 1:27
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    Hi Daisy,

    这几天仔细跟踪了一些4771的报警,发现我之前的故障描述不够准确。

    虽然DC上有很多4771的报警,但大部分是正常的,确实是用户密码错误或到期造成的。

    其中只有个别4771的报警是我所描述的故障,即用户密码正确,但Web应用无法登录,提示密码错误。尝试过清除浏览器缓存、账号密码缓存,但都无效。换电脑也是同样的问题。

    检查过AD复制也是正常的。

    2022年8月23日 1:43
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    根据这句话“只有个别4771的报警是我所描述的故障,即用户密码正确,但Web应用无法登录,提示密码错误。尝试过清除浏览器缓存、账号密码缓存,但都无效。换电脑也是同样的问题。”,请问您是否可以从这个别的4771事件中找出,什么账号在哪台机器上登录,然后在域控上产生这个4771事件的呢?

    您有几个账号出现这样的问题?

    如果只有一个账号出现这样的问题,在我看来,我总觉得这个账号的账号和密码被缓存在某台电脑上的app或者应用程序上,然后可能出现这个问题。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2022年8月25日 2:24
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    请问这个帖子里的问题是否解决了呢?

    对于这个帖子,如果您还有任何相关的问题,请随时告知我们。我们很高兴帮助您。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2022年8月30日 1:07
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    Hi Daisy,

    有不同账号出现这样的情况。但因为之前的案例日志已经看不到了。我们仔细跟踪了最近的一个case,4771事件的来源该用户当时登录的电脑上,而且可以看到用户每次在web应用输入密码登录失败后,DC上就会出现相应的一次4771事件,并没有其他更多的4771事件。我们检查了所有DC,也没有发现该用户来自其他电脑的4771事件。

    2022年8月30日 1:16
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    既然域控上有事件ID 4771,那么肯定是有账号传给域控去验证了,要么是什么app记住了用户的凭据,要么用户手动输入了凭据发送给了域控,如果少数账号出现这样的情况,也不排除用户可能偶尔没注意手动输错了账号或者密码

    如果出现这样的问题,并且您不去DC上重置用户账号的密码,用户关闭网页程序或者重启电脑重新登录网页应用程序,是不是也一直就无法登录网页应用程序了吗?



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2022年9月1日 6:38
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    Hi Daisy,

    在过去的case中,除了重置密码,我们没有找到其他办法解决这个问题。

    最近这个case重启电脑、清缓存、清除保存的密码都试过。

    我们反复检查,确定用户输入的密码确实没错,但在Web应用上每输入一次密码,DC上就产生一条4771事件。

    2022年9月1日 9:13
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    感觉您的问题很奇怪,可能有点复杂,可能需要搜集更多日志来分析排查。由于数据安全问题,论坛服务方式不方便搜集日志,建议您去开微软开一个付费的案例吧。

    链接如下:

    Global Customer Service phone numbers (microsoft.com)

    找到亚洲(Asia)\中国






    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2022年9月2日 3:42
    |
    版主