Erreurs d’ID d’événement multiple 4769 dans le journal d’audit SharePoint OnPrem

Symptômes

L’ID d’événement 4769 s’est répété plusieurs fois dans le journal des événements SharePoint OnPrem dans les conditions suivantes :

  • Microsoft SharePoint 2016 Server est actif dans un domaine Active Directory local.
  • Vous configurez une application de service de recherche.
  • Vous configurez l’environnement de manière à ce qu’il soit séparé selon les meilleures pratiques d’administration selon les privilèges minimum.
  • L’environnement est configuré conformément aux meilleures pratiques Kerberos pour SharePoint.
  • L’audit Kerberos est activé sur les serveurs contrôlés par le domaine et l’opération « Auditer les opérations de ticket de service Kerberos » est définie sur les échecs d’audit et la réussite.

Dans ce scénario, le conteneur du journal des événements d’application sur les contrôleurs de domaine (DCS) est submergé par des événements « Échec d’audit » qui indiquent l’ID d’événement 4769 plusieurs fois par seconde, comme illustré dans la capture d’écran suivante.

Erreurs d’ID d’événement type 4769.

Le compte de service de recherche est mentionné comme « nom du service » et le compte de la batterie de serveurs est mentionné comme nom de compte d’appelant.

Cause

Ces événements sont générés principalement (mais pas exclusivement) à partir des opérations de timer suivantes dans SharePoint :

  • Travail du service d’administration d’Application Server
  • Travail du timer du serveur d’applications

Ces opérations synchronisent les paramètres à l’échelle de la batterie de serveurs liés aux services de recherche et d' chacune des batteries de serveurs.

Les événements sont causés par des demandes au service d’octroi de ticket (TGS) DC Kerberos à partir du processus du service du temps SharePoint (OWSTimer.exe) qui s’exécute sous le compte de la batterie de serveurs pour le service de recherche SharePoint.

Toutefois, le service de recherche SharePoint n’utilise pas de nom principal de serveur (SPN) à d’autres fins. Et comme aucun SPN n’est définie, la demande échoue et génère l’ID d’événement d’échec d’audit faux positif 4769 sur le dc.

Par conséquent, ces listes d’événements multiples peuvent entraver la possibilité de surveiller de manière significative les échecs d’audit pertinents pour d’autres comptes.

Résolution

Pour résoudre ce problème, vous pouvez affecter un nom principal de service inexistant ou « factice » au compte du service de recherche SharePoint. Pour ce faire, utilisez la commande SETSPN -S.

Par exemple : SETSPN -S FAKEPROTOCOL/FAKESERVICENAME CONTOSO\SPSVC

Cette commande empêche le journal des événements d’audit Kerberos de se remplir de messages d’échec d’audit faux positifs. La commande n’affecte pas les fonctionnalités de SharePoint et ne crée pas de risques de sécurité.

Cette action prend effet immédiatement. Aucune autre action administrative n’est requise.

Plus d’informations

La définition d’un SPN inexistant est une pratique courante et sûre recommandée dans les scénarios où un SPN nonfonctionnel est nécessaire.

Pour plus d’informations à ce sujet, voir exemple de déploiement de KCD avec Office Online Server et Analysis Services.

Encore besoin d’aide ? Accédez à Microsoft Community.