none
大量事件4771 4776日志

    问题

  • 环境:2008R2父子域,子域有多台DC

    最近其中一台DC上面出现了大量审核失败的日志47714776,且报错的用户及计算机都是同样的那几个。

    事件4776

    计算机试图验证账户的凭据。

    验证包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

    2016年11月27日 7:00

答案

  • 您好!

    事件4771通常是在Kerberos预身份验证时,KDC无法分发Kerberos票证授予凭据(Ticket Granting Ticket)而产生的,可能的原因有用户的密码已经过期或者密码错误等。而事件4776是使用NTLM验证方式验证密码凭据时产生的,并且只会具有权威性的机器上产生,比如域帐户登录时是需要和域控进行验证的,域控就是具有权威性的机器,而造成登录失败的可能性也很多,比如用户名密码不正确,密码过期,帐号被锁定等等。

    为了缩小排查的范围,我建议您先查看这两个日志中的详细信息,查看事件4776中和事件4771中包含的错误代码(Error Code或者Failure Code),从该代码中我们可以初步分析出该帐号登录失败的原因。

    此外请确认一下这几个用户是否的确是在这几台计算机上登录的,用户最近有没有修改过密码或者有没有出现密码过期的问题等。

    希望以上信息对您有所帮助。

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 felx_li 2016年11月27日 11:56
    2016年11月27日 7:43
    版主

全部回复

  • 您好!

    事件4771通常是在Kerberos预身份验证时,KDC无法分发Kerberos票证授予凭据(Ticket Granting Ticket)而产生的,可能的原因有用户的密码已经过期或者密码错误等。而事件4776是使用NTLM验证方式验证密码凭据时产生的,并且只会具有权威性的机器上产生,比如域帐户登录时是需要和域控进行验证的,域控就是具有权威性的机器,而造成登录失败的可能性也很多,比如用户名密码不正确,密码过期,帐号被锁定等等。

    为了缩小排查的范围,我建议您先查看这两个日志中的详细信息,查看事件4776中和事件4771中包含的错误代码(Error Code或者Failure Code),从该代码中我们可以初步分析出该帐号登录失败的原因。

    此外请确认一下这几个用户是否的确是在这几台计算机上登录的,用户最近有没有修改过密码或者有没有出现密码过期的问题等。

    希望以上信息对您有所帮助。

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 felx_li 2016年11月27日 11:56
    2016年11月27日 7:43
    版主
  • 谢谢,我再研究研究,有问题再回复
    2016年11月27日 11:56