登录

Microsoft.com

Microsoft

Remove From My Forums

在Windows Server 2008 R2 AD域中安全日志中无法生存4768的日志

问题
0

登录进行投票

我们的环境中有台审计设备需要升级安全日志中产生ID为4768的日志，正常情况是能显示这个日志的，但是目前生产环境始终不能显示，目前

windows系统中Kerberos Key Distribution Center 服务启动，请协助分析什么原因，谢谢！

2013年11月8日 10:06

回复

|

引用

答案

0

登录进行投票
你好，

当域用户要登录到一台加域的计算机，用户需要找到一台域控制进行验证，这时候，这台计算机会去联系一台本地的域控制器，请求TGT。如果用户名和密码是正确的，那么用户就会通过检查，然后域控制器会给他请求的TGT，然后事件4768就会被记录。

另外有一种情况就是，加域的电脑需要域控制器认证的时候，大部分当电脑启动或者服务器重启的时候，这时候也会有事件4768日志。

我建议你新建一个账号，然后登录到一台加域的机器上，然后检查一下每一台域控制器，看是否有事件被记录。

我们可以通过下面的命令来检查看用户是通过哪台域控制器进行认证的：

set l

Regards, Yan Li
- 已标记为答案 Yan Li_Moderator 2013年11月19日 1:59
2013年11月11日 8:58

回复

|

引用

版主

全部回复

0

登录进行投票
你好，

当域用户要登录到一台加域的计算机，用户需要找到一台域控制进行验证，这时候，这台计算机会去联系一台本地的域控制器，请求TGT。如果用户名和密码是正确的，那么用户就会通过检查，然后域控制器会给他请求的TGT，然后事件4768就会被记录。

另外有一种情况就是，加域的电脑需要域控制器认证的时候，大部分当电脑启动或者服务器重启的时候，这时候也会有事件4768日志。

我建议你新建一个账号，然后登录到一台加域的机器上，然后检查一下每一台域控制器，看是否有事件被记录。

我们可以通过下面的命令来检查看用户是通过哪台域控制器进行认证的：

set l

Regards, Yan Li
- 已标记为答案 Yan Li_Moderator 2013年11月19日 1:59
2013年11月11日 8:58

回复

|

引用

版主
0

登录进行投票

通过什么命令查询，没有写命令啊？

2013年11月12日 8:26

回复

|

引用
0

登录进行投票

Set logonserver

是用来查询通过哪台域控制掐进行认证的。
Regards, Yan Li

2013年11月13日 2:45

回复

|

引用

版主