0x19 KDC_ERR_PREAUTH_REQUIRED no meu log de eventos

Question

0x19 KDC_ERR_PREAUTH_REQUIRED no meu log de eventos

#1 resposta do (8 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)
#4 resposta do (-4 votos)

5

Portanto, eu tenho um servidor e toda vez que uma conta de usuário ou serviço efetua logon na máquina, um evento de erro é gerado no log do sistema:

A Kerberos Error Message was received:
 on logon session DOMAIN\serviceaccount
 Client Time: 
 Server Time: 12:44:21.0000 10/9/2012 Z
 Error Code: 0x19 KDC_ERR_PREAUTH_REQUIRED
 Extended Error: 
 Client Realm: 
 Client Name: 
 Server Realm: DOMAIN
 Server Name: krbtgt/DOMAIN
 Target Name: krbtgt/DOMAIN@DOMAIN
 Error Text: 
 File: e
 Line: 9fe
 Error Data is in record data.

Então, é claro, eu pesquisei isso no Google e a única informação que estou recebendo é que "isso não indica necessariamente um problema e geralmente você pode ignorá-lo".

Bom, isso é ótimo, mas esses erros estão enviando spam ao meu sistema uma vez por minuto e eu realmente gostaria de fazê-los parar. Alguma idéia?

Do blogue do Microsoft AskDS:

KDC_ERR_PREAUTH_REQUIRED

If you see this error in the trace, it does not indicate there is a problem at all. The client requested a ticket but did not include the pre-authentication data with it. You will typically see the same request sent again with the data and the domain controller issuing the ticket. Windows uses this technique to determine the supported encryption types.

windows active-directory kerberos

por Ryan Ries 09.10.2012 / 16:48

4 respostas

0

Eu estava tendo o mesmo problema no meu servidor e estava preenchendo meu servidor com erros. Eu encontrei essa chave do Registro ( HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters ) na base de conhecimento do Suporte da Microsoft ( link ) e a removi e agora parece estar funcionando muito bem.

por 07.11.2013 / 01:46

0

KDC_ERR_PREAUTH_REQUIRED é retornado na solicitação AS inicial do Kerberos. Por padrão, o cliente Kerberos do Windows não está incluindo informações de pré-autenticação nesta primeira solicitação. A resposta contém informações sobre os tipos de criptografia suportados no KDC e, no caso do AES, os sais a serem usados para criptografar os hashes de senha.

Recomendação: ignore sempre este código de erro.

link

por 11.06.2018 / 18:37

-4

Você pode interromper esse erro marcando a caixa "Não exigir pré-autenticação do Kerberos" nas propriedades da conta de usuário na guia Conta da conta de serviço em Usuários e & Computadores.

por 13.05.2015 / 00:29

Tags windows active-directory kerberos

O que “dpkg-reconfigure keyboard-configuration” realmente faz? Memória não-ECC no Proliant DL385 g5

score 8 · Accepted Answer

Eu não posso ajudar você a pará-los; Eu tenho medo de ser uma pessoa do Linux. Eu posso pelo menos explicá-los. Entender essa mensagem requer uma pequena digressão sobre como a autenticação Kerberos funciona.

O processo de autenticação Kerberos básico é para o cliente solicitar um TGT criptografado do KDC, que ele descriptografa com sua chave local. No entanto, ingenuamente implementado, isso permite que um invasor faça o download dos TGTs para cada usuário em seu território e tente decodificá-los por meio de ataques de força bruta no tempo livre do invasor. O Kerberos, portanto, adicionou um mecanismo chamado pré-autenticação.

A forma como a pré-autenticação funciona é que o KDC, quando recebe o pedido TGT, envia de volta um desafio de pré-autenticação, em vez de apenas enviar de volta o TGT. O desafio de pré-autenticação pode assumir várias formas, mas a mais comum solicita que o cliente envie a hora atual criptografada na chave do cliente. O KDC então confirma que o cliente pode fazer isso (o que indica algum conhecimento da chave do cliente) antes de enviar o TGT.

No entanto, em parte porque a pré-autenticação foi adicionada e em parte porque o cliente não sabe qual desafio de pré-autenticação será enviado, o cliente sempre envia a solicitação TGT básica e o KDC sempre a rejeita com um desafio de pré-autenticação. Essas mensagens de log são o Active Directory registrando o fato de que recebeu uma solicitação TGT sem pré-autenticação e enviou um desafio.

Seu palpite é tão bom quanto o meu sobre o motivo pelo qual se incomoda registrar isso, já que é uma parte normal do protocolo e não horrivelmente interessante, mas todos os KDCs baseados em Linux fazem a mesma coisa.