saturion
Jun 06, 2015, updated at 23:57:36 (UTC)
view2894
view4
0
Goto Top

Kerberos Diensttickets werden am laufenden Band ausgestellt (Win2008r2) EreignisID 4769

GermansolvedQuestionWindows ServerMicrosoft
In der Ereignisanzeige meines SBS2011 Servers, tauchen jede Minute unzähliche Einträge Im Reiter "Sicherheit" mit der EreignisID4769 auf. Merkwürdig erscheint dabei, dass die Anfrage vom Server an den Server gestellt wird. Ist das Normal?

hier das Ereignislog welches alle Minuten 100Fach generiert wird:


- System

- Provider

[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}

EventID 4769

Version 0

Level 0

Task 14337

Opcode 0

Keywords 0x8020000000000000

- TimeCreated

[ SystemTime] 2015-06-06T21:01:41.073380200Z

EventRecordID 39765493

Correlation

- Execution

[ ProcessID] 624
[ ThreadID] 14440

Channel Security

Computer SERVER.DOMÄNE

Security


- EventData

TargetUserName SERVER$@DOMÄNE.LOCAL
TargetDomainName DOMÄNE.LOCAL
ServiceName krbtgt
ServiceSid S-1-5-21-3533894385-2357661918-1286068002-502
TicketOptions 0x60810010
TicketEncryptionType 0x17
IpAddress ::1
IpPort 0
Status 0x0
LogonGuid {6C3057CC-A800-E222-0CE3-B67A91AC0DC7}
TransmittedServices –


Liebe Grüße Sauturion
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 273951

Url: https://administrator.de/contentid/273951

Printed on: April 26, 2024 at 14:04 o'clock

4 Comments
Latest comment
Goto Top
Member: Pjordorf
Pjordorf Jun 06, 2015 updated at 23:57:57 (UTC)
Goto Top
Hallo,

Zitat von @Saturion:
mit der EreignisID4769 auf
Und andere bestimmt auch welche hiermit zu tun haben, oder?

Normal?
Ja, je nach dem.....

hier das Ereignislog welches alle Minuten 100Fach generiert wird:
Schaust du erst mal hier für den Anfang https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...

[ ProcessID] 624
Wer ist das? IIS? SMTP? oder wer?

http://www.morgantechspace.com/2014/11/Event-4769-A-Kerberos-service-ti ...

Gruß,
Peter
Member: Saturion
Saturion Jun 07, 2015 at 00:02:36 (UTC)
Goto Top
Hallo peter,
Das waren ganz hilfreiche Tips, ich weiß nun, dass die ProcessID zu lsass.exe gehört, aber warum soviele Kerberos-anfragen von lsass gestellt werden weiß ich immer noch nicht.
andere Ereignise finde ich nicht im Ergeignislog bis auf vereinzelte Anfragen von anderen Rechnern im Netzwerk. Aber aller 5 Minuten werden von lsass hunderte Tickets angefordert.
Noch eine Idee wie ich der Sache auf die Spur kommen könnte? Einfach nur die Logs deaktivieren ist ja auch keine Lösung
Member: Pjordorf
Solution Pjordorf Jun 07, 2015, updated at Jun 09, 2015 at 22:45:58 (UTC)
Goto Top
Hallo,

Zitat von @Saturion:
dass die ProcessID zu lsass.exe gehört
OK

Kerberos-anfragen von lsass
eher an LSASS.exe und nicht VON
http://praxistipps.chip.de/lsass-exe-was-ist-das_37413

Aber aller 5 Minuten werden von lsass hunderte Tickets angefordert.
Klemm mal dein Internet ab. Bleibt es dann ruhig(er)?

http://blogs.msdn.com/b/canberrapfe/archive/2012/01/02/kerberos-trouble ...

Gruß,
Peter

[Nachtrag]
Sehe gerade das es gelöst wurde. Was war denn der Fehler bzw. die Fehlerbehebung?
[/Nachtrag]
Member: Saturion
Saturion Jun 09, 2015 at 22:47:24 (UTC)
Goto Top
Sehr komisch, aber nachdem ich meine Domänen Organisationnsstruktur heraufgestuft habe (Von Windows 2003 auf Windows 2008r2) war das Problem auf einmal verschwunden.
Aber vielen Dank für die Bemühungen, hat mir viel bei der Recherche geholfen.
Hruß Sauturion
GermansolvedQuestionWindows ServerMicrosoft