Estou tendo problemas para descobrir o que está causando falhas de auditoria maciças em um sistema de servidor 2008.
the event id is 4771
Account Name: Administrator
Service Name: krbtgt/DOMAIN.NAME
Client Address: ::1
Client Port: 0
Pre-Authentication Type: 2
O registro acontece em intervalos de cerca de 5 minutos e pelo menos 30 eventos de falha são registrados.
Parece que vem da máquina local e é um problema de autenticação da Kerberos, mas não sei como rastrear / corrigir o problema.
Serviços na máquina:
DNS
Active Directory
DHCP
WSUS
VIPRE enterprise
Eu verifiquei todas as tarefas agendadas no sistema e tudo parece bem. Eu verifiquei a senha no VIPRE e no WSUS para obter senhas inválidas. Não tenho certeza do que está acontecendo.
Obrigado.
ADIÇÃO: Este log de eventos aparece no meu DC primário e secundário ...
TargetUserName Administrator
TargetSid S-1-5-21-2134851818-3285922005-2538191131-500
ServiceName krbtgt/JEWELS.LOCAL
TicketOptions 0x40810010
Status 0x18
PreAuthType 2
IpAddress ::1
IpPort 0
CertIssuerName
CertSerialNumber
CertThumbprint
O processo é LSASS.EXE ..
Finalmente, imaginei que, para quem tem um problema semelhante, aqui estava minha solução:
O servidor também era um servidor DHCP. Nas propriedades IPv4, as credenciais de registro de atualizações dinâmicas do DNS tinham a conta administrativa salva com a senha errada. Alterar a senha salva parece ter corrigido meus problemas.