Erreurs d’ID d’événement multiple 4769 SharePoint journal d’audit OnPrem

Symptômes

L’ID d’événement 4769 s’est répété plusieurs fois dans SharePoint journal des événements OnPrem dans les conditions suivantes :

  • Microsoft SharePoint Server 2016 est actif dans un domaine Active Directory local.
  • Vous configurez une application de service de recherche.
  • Vous configurez l’environnement de manière à ce qu’il soit séparé selon les meilleures pratiques d’administration selon les privilèges minimum.
  • L’environnement est configuré conformément aux meilleures pratiques de Kerberos SharePoint.
  • L’audit Kerberos est activé sur les serveurs contrôlés par le domaine et l’opération « Auditer les opérations de ticket de service Kerberos » est définie sur les échecs d’audit et la réussite.

Dans ce scénario, le conteneur du journal des événements d’application sur les contrôleurs de domaine est submergé par des événements « Échec d’audit » qui indiquent l’ID d’événement 4769 plusieurs fois par seconde, comme illustré dans la capture d’écran suivante.

Capture d’écran de la page conteneur du journal des événements de l’application répertoriant l’ID d’événement 4769 Échec de l’audit à de nombreuses reprises.

Le compte de service de recherche est mentionné comme « nom du service » et le compte de la batterie de serveurs est mentionné comme nom de compte d’appelant.

Cause

Ces événements sont générés principalement (mais pas exclusivement) à partir des opérations du SharePoint :

  • Travail du service d’administration d’Application Server
  • Travail du timeur du serveur d’applications

Ces opérations synchronisent les paramètres à l’échelle de la batterie de serveurs liés aux services de recherche et d' chacune des batteries de serveurs.

Les événements sont causés par des demandes au service d’octroi de ticket (TGS) DC Kerberos à partir du processus OWSTimer.exe (SharePoint Timer Service) qui s’exécute sous le compte de la batterie de serveurs pour le service de recherche SharePoint.

Toutefois, SharePoint service de recherche de serveur n’utilise pas de nom principal de serveur (SPN) à d’autres fins. Et comme aucun SPN n’est définie, la demande échoue et génère l’ID d’événement d’échec d’audit faux positif 4769 sur le dc.

Par conséquent, ces listes d’événements multiples peuvent entraver la possibilité de surveiller de manière significative les échecs d’audit pertinents pour d’autres comptes.

Résolution

Pour résoudre ce problème, vous pouvez affecter un SPN inexistant ou « factice » au compte SharePoint Service de recherche. Pour ce faire, utilisez la commande SETSPN -S.

Par exemple : SETSPN -S FAKEPROTOCOL/FAKESERVICENAME CONTOSO\SPSVC

Cette commande empêche le journal des événements d’audit Kerberos de se remplir de messages d’échec d’audit faux positifs. La commande n’affecte pas les fonctionnalités SharePoint et ne crée pas de risques de sécurité.

Cette action prend effet immédiatement. Aucune autre action administrative n’est requise.

Plus d’informations

La définition d’un SPN inexistant est une pratique courante et sûre recommandée dans les scénarios où un SPN nonfonctionnel est nécessaire.

Pour plus d’informations à ce sujet, voir Exemple de déploiement de KCD avec Office Online Server et Analysis Services.

Encore besoin d’aide ? Accédez à Microsoft Community.