web-dev-qa-db-ja.com

イベントログに0x19 KDC_ERR_PREAUTH_REQUIRED

サーバーがあるので、ユーザーまたはサービスアカウントがマシンにログオンするたびに、システムイベントログにエラーイベントが生成されます。

A Kerberos Error Message was received:
 on logon session DOMAIN\serviceaccount
 Client Time: 
 Server Time: 12:44:21.0000 10/9/2012 Z
 Error Code: 0x19 KDC_ERR_PREAUTH_REQUIRED
 Extended Error: 
 Client Realm: 
 Client Name: 
 Server Realm: DOMAIN
 Server Name: krbtgt/DOMAIN
 Target Name: krbtgt/DOMAIN@DOMAIN
 Error Text: 
 File: e
 Line: 9fe
 Error Data is in record data.

もちろん、これをGoogleで検索しましたが、得られた唯一の情報は、「必ずしも問題を示しているわけではなく、通常は無視できる」ということです。

ええと、それはすばらしいことですが、これらのエラーは1分に1回程度システムログをスパムしているので、本当に停止させたいのです。何か案は?

Microsoft AskDSブログから:

KDC_ERR_PREAUTH_REQUIRED

トレースにこのエラーが表示された場合、それはまったく問題がないことを示していません。クライアントはチケットを要求しましたが、チケットに事前認証データが含まれていませんでした。通常、同じリクエストがデータとチケットを発行しているドメインコントローラーと共に再度送信されます。 Windowsはこの手法を使用して、サポートされている暗号化タイプを判別します。

windowsactive-directorykerberos
5
Ryan Ries

私はあなたがそれらを止めるのを助けることはできません。私はLinuxの人だと思います。私は少なくともそれらを説明することができます。このメッセージを理解するには、Kerberos認証がどのように機能するかを少し補足する必要があります。

基本的なKerberos認証プロセスは、クライアントがKDCに暗号化されたTGTを要求し、それをローカルキーで復号化することです。ただし、単純に実装されているため、攻撃者はレルム内のすべてのユーザーのTGTをダウンロードし、攻撃者の余暇にブルートフォース攻撃を介してTGTを解読することができます。したがって、Kerberosは事前認証と呼ばれるメカニズムを追加しました。

事前認証が機能する方法は、KDCがTGT要求を受信すると、単にTGTを送信するのではなく、事前認証チャレンジを送信することです。事前認証チャレンジはさまざまな形式をとることができますが、最も一般的なのは、クライアントに、クライアントのキーで暗号化された現在時刻を送信するように求めるものです。次に、KDCは、TGTを送信する前に、クライアントがそれを実行できることを確認します(これは、クライアントキーの知識があることを示します)。

ただし、一部には事前認証が追加されたため、一部にはクライアントが送信される事前認証チャレンジがわからないため、クライアントは常に基本的なTGT要求を送信し、KDCは常に事前認証チャレンジでそれを拒否します。これらのログメッセージは、事前認証なしでTGT要求を受け取り、チャレンジを送り返したという事実を記録するActive Directoryです。

プロトコルの通常の部分であり、ひどく面白くないので、なぜこれをログに記録するのが面倒なのか、私の推測と同じですが、LinuxベースのKDCはすべて同じことをします。

9
rra

私のサーバーでも同じ問題が発生し、サーバーにエラーが発生していました。このレジストリキー(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters)をMicrosoft Supportナレッジベース( https://support.Microsoft.com/en-us/kb/262177 )で削除して削除しましたが、今ではうまく機能しているようです。

2
Tony

KDC_ERR_PREAUTH_REQUIREDは、最初のKerberos AS要求で返されます。デフォルトでは、Windows Kerberosクライアントは、この最初のリクエストに事前認証情報を含めていません。応答には、KDCでサポートされている暗号化タイプに関する情報が含まれます。AESの場合は、パスワードハッシュの暗号化に使用されるソルトが含まれます。

推奨事項:このエラーコードは常に無視してください。

https://support.Microsoft.com/en-us/help/262177/how-to-enable-kerberos-event-logging

0
Casper Leon Nielsen