4769(S, F): Kerberos サービス チケットが要求されました。

Event 4769 illustration

サブカテゴリ:  Kerberos サービス チケット操作の監査

イベントの説明:

このイベントは、キー配布センターが Kerberos チケット付与サービス (TGS) チケット要求を取得する度に生成されます。

このイベントは、ドメイン コントローラーでのみ生成されます。

TGS の問題が失敗した場合は、[エラー**** コード] フィールドが "エラー" と等しくないエラー イベントが0x0。

通常、エラー コード "エラーコード" **** 0x20多くのエラー イベントが表示されます。これは、単に TGS チケットの有効期限が切れたという意味です。 これらは情報メッセージであり、セキュリティ上の関連性はほとんどない。

**注: **  推奨事項については、このイベントの「セキュリティ監視の推奨事項」を参照してください。


イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4769</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14337</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-08-07T18:13:46.043256100Z" />
<EventRecordID>166746</EventRecordID>
<Correlation />
<Execution ProcessID="520" ThreadID="1496" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="TargetUserName">dadmin@CONTOSO.LOCAL</Data>
<Data Name="TargetDomainName">CONTOSO.LOCAL</Data>
<Data Name="ServiceName">WIN2008R2$</Data>
<Data Name="ServiceSid">S-1-5-21-3457937927-2839227994-823803824-2102</Data>
<Data Name="TicketOptions">0x40810000</Data>
<Data Name="TicketEncryptionType">0x12</Data>
<Data Name="IpAddress">::ffff:10.0.0.12</Data>
<Data Name="IpPort">49272</Data>
<Data Name="Status">0x0</Data>
<Data Name="LogonGuid">{F85C455E-C66E-205C-6B39-F6C60A7FE453}</Data>
<Data Name="TransmittedServices">-</Data>
</EventData>
</Event>

必要なサーバーの役割: Active Directory ドメイン コントローラー。

最小 OS バージョン: Windows Server 2008。

イベントのバージョン: 0.

フィールドの説明:

アカウント情報:

  • アカウント名 [Type = UnicodeString]: ユーザー プリンシパル名 (UPN) 構文でチケットを要求したアカウントのユーザー名。 コンピューター アカウント名は、ユーザー $ 名パーツの文字で終わります。 通常、このフィールドの値の形式は user_account_name@FULL_DOMAIN_NAME。

    • ユーザー アカウントの例: dadmin@CONTOSO.LOCAL

    • コンピューター アカウントの例: WIN81$@CONTOSO。地元の

      メモ このフィールドは UPN 形式ですが、ユーザー アカウントの "UserPrincipalName" の属性値ではありません。 "正規化された" 名前または暗黙的な UPN です。 これは、ユーザー SamAccountName と Active Directory ドメイン名から構築されます。

      このイベントのこのパラメーターは省略可能で、場合によっては空の場合があります。

  • アカウント ドメイン [Type = UnicodeString]: アカウント名が属する Kerberos 領域 名前。 これは、次のようなさまざまな形式で表示できます。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

      このイベントのこのパラメーターは省略可能で、場合によっては空の場合があります。

  • ログオン GUID [Type = GUID]: このイベントを (ドメイン コントローラー上の) 同じログオン GUID を含む他のイベント (TGS が発行されたターゲット コンピューター上) と関連付けるのに役立つ GUIDです。 これらのイベントは、"4624:アカウントが正常にログオンされました"、"4648(S): 明示的な資格情報を使用してログオンが試行されました"、"4964(S): 特別なグループが新しいログオンに割り当て済みです。

    このパラメーターはイベントでキャプチャされない可能性があります。その場合は "" と表示 {00000000-0000-0000-0000-000000000000} されます。

****   メモ  GUIDは「グローバル一意識別子」の頭字語です。 リソース、アクティビティ、またはインスタンスを識別するために使用される 128 ビットの整数番号です。

サービス情報:

  • サービス名 [Type = UnicodeString]: TGS チケットが要求されたアカウントまたはコンピューターの名前。

    • このイベントのこのパラメーターは省略可能で、場合によっては空の場合があります。
  • サービス ID [Type = SID]: TGS チケットが要求されたアカウントまたはコンピューター オブジェクトの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

    • NULL SID – この値はエラー イベントに表示されます。

注:   セキュリティ識別子 (SID) は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長で固有の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「セキュリティ識別子」を参照してください。

ネットワーク情報:

  • クライアント アドレス [Type = UnicodeString]: TGS 要求を受信したコンピューターの IP アドレス。 形式はさまざまで、次のようなものがあります。

    • IPv6 または IPv4 アドレス

    • ::ffff:IPv4_address.

    • ::1 - localhost。

  • クライアント ポート [Type = UnicodeString]: クライアント ネットワーク接続 (TGS 要求接続) の送信元ポート番号。

    • ローカル (localhost) 要求の場合は 0。

追加情報:

  • チケット オプション: [Type = HexInt32]: これは、16 進形式の異なるチケット フラグのセットです。

    例:

    • チケット オプション: 0x40810010

    • バイナリ ビュー: 01000000100000010000000000010000

    • MSB 0ビット番号付けを使用すると、ビット 1、8、15、27 セット = 転送可能、再生可能、正規化、再設定が可能です。

****   メモ  RFC ドキュメントではこのスタイルが使用されるので、次の表では "MSB 0" ビット番号が使用されます。 "MSB 0" スタイルのビット番号付けは左から始まります。
MSB illustration

最も一般的な値:

  • 0x40810010 - 転送可能、再生可能、標準化、再設定が可能

  • 0x40810000 - 転送可能、再生可能、標準化

  • 0x60810010 - 転送可能、転送可能、再生可能、標準化、再設定可能

ビット フラグ名 説明
0 予約済み -
1 転送可能 (TGT のみ)。 提示された TGT に基づいて、提示された TGT に基づいて異なるネットワーク アドレスを持つ新しい TGT を発行できるチケット付与サービスに指示します。
2 Forwarded TGT が転送されたか、転送された TGT からチケットが発行されたかどうかを示します。
3 Proxiable (TGT のみ)。 チケット付与サービスに、TGT のネットワーク アドレスとは異なるネットワーク アドレスでチケットを発行できると指示します。
4 プロキシ チケット内のネットワーク アドレスが、チケットの取得に使用される TGT のネットワーク アドレスと異なることが示されます。
5 Allow-postdate 延期されたチケットは 、KILE (Microsoft Kerberos プロトコル拡張機能) でサポートされる必要があります。
6 Postdated 延期されたチケットは 、KILE (Microsoft Kerberos プロトコル拡張機能) でサポートされる必要があります。
7 ライセンスが無効 このフラグは、チケットが無効であり、使用する前に KDC によって検証する必要があります。 アプリケーション サーバーは、このフラグが設定されているチケットを拒否する必要があります。
8 再生可能 [終了時刻] フィールドと [更新ティル] フィールドを組み合わせて使用すると、KDC で有効期限が長いチケットが定期的に更新されます。
9 Initial チケットが認証サービス (AS) 交換を使用して発行され、TGT に基づいて発行されていないかどうかを示します。
10 事前認証 チケットが発行される前に KDC によってクライアントが認証されたかどうかを示します。 このフラグは、通常、チケット内にオーセンティケーターが存在する状態を示します。 また、スマート カード ログオンから取得した資格情報の存在にフラグを設定できます。
11 Opt-hardware-auth このフラグは、当初、事前認証中にハードウェアでサポートされる認証が使用されたと示す目的で使用されました。 このフラグは、Kerberos V5 プロトコルでは推奨されなくなりました。 KDC は、このフラグ セットを使用してチケットを発行しなける必要があります。 KDC は、別の KDC によって設定されている場合、このフラグを保持しない必要があります。
12 中継ポリシーがチェックされている KILE は、サーバーまたは KDC 上の転送されたドメインをチェックしなける必要があります。 アプリケーション サーバーは、TRANSITED-POLICY-CHECKED フラグを無視する必要があります。
13 Ok-as-delegate サービス アカウントが委任に対して信頼されている場合、KDC は OK-AS-DELEGATE フラグを設定する必要があります。
14 要求-匿名 KILE は、このフラグを使用しない。
15 Name-canonicalize 紹介を要求するには、Kerberos クライアントが AS-REQ または TGS-REQ の "標準化" KDC オプションを明示的に要求する必要があります。
16-25 未使用 -
26 Disable-transited-check 既定では、KDC は TGT に基づいて派生チケットを発行する前に、TGT の通過フィールドをローカル 領域のポリシーと対してチェックします。 要求でこのフラグが設定されている場合、転送されたフィールドのチェックは無効になります。 このチェックのパフォーマンスなしで発行されたチケットは、TRANSITED-POLICY-CHECKED フラグのリセット (0) 値によって示され、通過フィールドをローカルでチェックする必要があることをアプリケーション サーバーに示します。 KDC は推奨されますが、尊重する必要はありません
DISABLE-TRANSITED-CHECK オプションを使用します。
KILE では Transited-policy-checked フラグがサポートされていないので、使用しない必要があります。
27 再びOK RENEWABLE-OK オプションは、要求されたライフを持つチケットを提供できない場合は、更新可能なチケットが受け入れられるかどうかを示します。その場合、更新可能なチケットは、要求された終了時刻と等しい更新期間で発行される可能性があります。 更新可能フィールドの値は、ローカルの制限、または個々のプリンシパルまたはサーバーによって選択された制限によって制限される場合があります。
28 Enc-tkt-in-skey 情報なし。
29 未使用 -
30 更新 RENEW オプションは、現在の要求が更新を行うかどうかを示します。 提供されるチケットは、有効なサーバーのシークレット キーで暗号化されます。 このオプションは、更新するチケットに RENEWABLE フラグが設定されている場合と、更新可能フィールドの時間が経過していない場合にのみ適用されます。 更新するチケットは、認証ヘッダーの一部として padata フィールドに渡されます。
31 検証 このオプションは、チケット付与サービスでのみ使用されます。 VALIDATE オプションは、延期されたチケットを検証する要求を示します。 延期されたチケットは KILE でサポートされないので、使用する必要があります。
## 表 4. Kerberos 暗号化の種類
  • チケット暗号化の種類: [Type = HexInt32]: 発行された TGS に使用された暗号化スイート。
型名 説明
0x1 DES-CBC-CRC サーバー 7 およびサーバー 2008 R2 Windows既定Windows無効です。
0x3 DES-CBC-MD5 サーバー 7 およびサーバー 2008 R2 Windows既定Windows無効です。
0x11 AES128-CTS-HMAC-SHA1-96 サーバー 2008 および Windows Vista からWindowsサポートされています。
0x12 AES256-CTS-HMAC-SHA1-96 サーバー 2008 および Windows Vista からWindowsサポートされています。
0x17 RC4-HMAC Server 2008 および Vista Windows前のオペレーティング システムWindowsスイート。
0x18 RC4-HMAC-EXP Server 2008 および Vista Windows前のオペレーティング システムWindowsスイート。
0xFFFFFFFFまたは0xffffffff - この種類は、エラーの監査イベントに表示されます。
  • エラー コード [Type = HexInt32]: TGS 発行操作の 16 進数の結果コード。 次の表に、このイベントの最も一般的なエラー コードの一覧を示します。
コード コード名 説明 考えられる原因
0x0 KDC_ERR_NONE エラーなし エラーは見つかりませんでした。
0x1 KDC_ERR_NAME_EXP KDC データベース内のクライアントのエントリの有効期限が切れています 情報なし。
0x2 KDC_ERR_SERVICE_EXP KDC データベース内のサーバーのエントリの有効期限が切れています 情報なし。
0x3 KDC_ERR_BAD_PVNO 要求された Kerberos バージョン番号はサポートされていません 情報なし。
0x4 KDC_ERR_C_OLD_MAST_KVNO 古いマスター キーで暗号化されたクライアントのキー 情報なし。
0x5 KDC_ERR_S_OLD_MAST_KVNO 古いマスター キーで暗号化されたサーバーのキー 情報なし。
0x6 KDC_ERR_C_PRINCIPAL_UNKNOWN Kerberos データベースにクライアントが見つかりません ユーザー名が存在しません。
0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN Kerberos データベースにサーバーが見つかりません このエラーは、ドメイン コントローラーが Active Directory でサーバーの名前を見つけ出できない場合に発生する可能性があります。 このエラーは KDC_ERR_C_PRINCIPAL_UNKNOWN に似ていますが、サーバー名が見つからない場合に発生します。
0x8 KDC_ERR_PRINCIPAL_NOT_UNIQUE KDC データベース内の複数のプリンシパル エントリ このエラーは、重複するプリンシパル名が存在する場合に発生します。 一意のプリンシパル名は、相互認証を確実に行う上で重要です。 したがって、複数の領域をまたがっても、重複するプリンシパル名は厳密に禁止されています。 一意のプリンシパル名がない場合、クライアントは通信しているサーバーが正しいサーバーである必要はありません。
0x9 KDC_ERR_NULL_KEY クライアントまたはサーバーの null キー (マスター キー) クライアントまたはサーバーのマスター キーが見つかりませんでした。 通常、管理者はアカウントのパスワードをリセットする必要があります。
0xA KDC_ERR_CANNOT_POSTDATE チケット (TGT) は延期の対象ではありません このエラーは、クライアントが Kerberos チケットの延期を要求した場合に発生する可能性があります。 延期とは、チケットの開始時刻を将来に設定する要求を行う行為です。
また、クライアントと KDC の間に時間差がある場合にも発生する可能性があります。
0xB KDC_ERR_NEVER_VALID 要求された開始時刻が終了時刻より後 KDC とクライアントの間には時間差があります。
0xC KDC_ERR_POLICY 要求された開始時刻が終了時刻より後 通常、このエラーは、ユーザーのアカウントでログオン制限が適用された結果です。 たとえば、ワークステーションの制限、スマート カード認証要件、ログオン時間制限などです。
0xD KDC_ERR_BADOPTION KDC は要求されたオプションに対応できません TGT の有効期限が近付く。
クライアントが資格情報の委任を試みる SPN が、許可から委任先の一覧に含め
0xE KDC_ERR_ETYPE_NOTSUPP KDC は暗号化の種類をサポートしません 一般に、KDC またはクライアントが復号化できないパケットを受信すると、このエラーが発生します。
0xF KDC_ERR_SUMTYPE_NOSUPP KDC はチェックサムの種類をサポートしません KDC、サーバー、またはクライアントは、適切な暗号化の種類のキーを持つパケットを受信します。 その結果、コンピューターはチケットの暗号化を解除できません。
0x10 KDC_ERR_PADATA_TYPE_NOSUPP KDC には PADATA 型 (事前認証データ) はサポートされていません スマート カード ログオンが試行され、適切な証明書を見つけできません。 これは、間違った証明機関 (CA) が照会されている、または適切な CA に連絡できない場合に発生する可能性があります。
また、ドメイン コントローラーにスマート カード用の証明書 (ドメイン コントローラーまたはドメイン コントローラー認証テンプレート) がインストールされていない場合にも発生します。
このエラー コードは、イベント "4768 で発生することはできません。 Kerberos 認証チケット (TGT) が要求されました。 "4771" で発生します。 Kerberos の事前認証に失敗しました" イベント。
0x11 KDC_ERR_TRTYPE_NO_SUPP KDC には、転送型のサポートはありません 情報なし。
0x12 KDC_ERR_CLIENT_REVOKED クライアントの資格情報が取り消されました これは、明示的に無効にした場合や、アカウントで他の制限が適用されている場合に考えられます。 たとえば、アカウントの無効化、有効期限切れ、ロックアウトなどです。
0x13 KDC_ERR_SERVICE_REVOKED サーバーの資格情報が取り消されました 情報なし。
0x14 KDC_ERR_TGT_REVOKED TGT が取り消されました リモート KDC は、PKCROSS チケットがまだアクティブな間に PKCROSS キーを変更する可能性があります。最後に発行された PKCROSS チケットの有効期限が切れるまで、古い PKCROSS キーをキャッシュする必要があります。 それ以外の場合、リモート KDC は KDC_ERR_TGT_REVOKED 型の KRB-ERROR メッセージでクライアントに応答します。 詳細 については、「RFC1510」 を参照してください。
0x15 KDC_ERR_CLIENT_NOTYET クライアントがまだ有効ではありません。後でもう一度やり直してください 情報なし。
0x16 KDC_ERR_SERVICE_NOTYET サーバーがまだ有効ではありません。後でもう一度やり直してください 情報なし。
0x17 KDC_ERR_KEY_EXPIRED パスワードの有効期限が切れています。パスワードをリセットする変更 ユーザーのパスワードの有効期限が切れています。
このエラー コードは、イベント "4768 で発生することはできません。 Kerberos 認証チケット (TGT) が要求されました。 "4771" で発生します。 Kerberos の事前認証に失敗しました" イベント。
0x18 KDC_ERR_PREAUTH_FAILED 認証前の情報が無効でした 間違ったパスワードが提供された。
このエラー コードは、イベント "4768 で発生することはできません。 Kerberos 認証チケット (TGT) が要求されました。 "4771" で発生します。 Kerberos の事前認証に失敗しました" イベント。
0x19 KDC_ERR_PREAUTH_REQUIRED 追加の事前認証が必要 このエラーは、相互運用性のシナリオUNIX発生します。 MIT-Kerberosクライアントは、KRB_AS_REQ メッセージを送信するときに事前認証を要求しません。 事前認証が必要な場合 (既定)、Windowsシステムからこのエラーが送信されます。 ほとんどのMIT-Kerberosクライアントは、事前認証を行ってこのエラーに応答します。この場合、エラーは無視できますが、一部のクライアントはこの方法で応答しない場合があります。
0x1A KDC_ERR_SERVER_NOMATCH KDC は要求されたサーバーについて知りません 情報なし。
0x1B KDC_ERR_MUST_USE_USER2USER user2user にのみ有効なサーバー プリンシパル このエラーは、サービスに SPN が存在しないので発生します。
0x1F KRB_AP_ERR_BAD_INTEGRITY 復号化されたフィールドの整合性チェックに失敗しました オーセンティケーターは、セッション キー以外で暗号化されました。 その結果、クライアントは結果のメッセージを復号化できません。 メッセージの変更は、攻撃の結果か、ネットワーク ノイズが発生した可能性があります。
0x20 KRB_AP_ERR_TKT_EXPIRED チケットの有効期限が切れています Kerberos ポリシー設定の "ユーザー チケットの最大有効期間" の値が小さいと、このエラーが発生する可能性が高い。 チケットの更新は自動的に行うので、このメッセージを受け取った場合は何もする必要はありません。
0x21 KRB_AP_ERR_TKT_NYV チケットがまだ有効ではありません サーバーに提示されたチケットがまだ有効ではありません (サーバー時間との関係)。 最も考えられる原因は、KDC とクライアントのクロックが同期されない場合です。
領域間 Kerberos 認証が試行されている場合は、ターゲット 領域の KDC とクライアント 領域の KDC 間の時刻同期も確認する必要があります。
0x22 KRB_AP_ERR_REPEAT 要求は再生です このエラーは、特定のオーセンティケーターが 2 回表示され、KDC が、このセッション チケットが既に受信したセッション チケットと重複しているのを検出しました。
0x23 KRB_AP_ERR_NOT_US チケットは私たち用ではありません サーバーは、別の領域用のチケットを受け取っています。
0x24 KRB_AP_ERR_BADMATCH チケットと認証者が一致しない KRB_TGS_REQ間違った KDC に送信されます。
プロトコルの移行中にアカウントの不一致があります。
0x25 KRB_AP_ERR_SKEW クロック スキューが大きすぎます このエラーは、クライアント コンピューターが Kerberos ポリシーの "コンピューター クロック同期の最大許容度" 設定で見つかった分数以上、サーバーのタイムスタンプと異なる値を持つタイムスタンプを送信した場合に記録されます。
0x26 KRB_AP_ERR_BADADDR ネットワーク層ヘッダーのネットワーク アドレスがチケット内のアドレスと一致しない セッション チケットには、有効なアドレスが含まれる場合があります。 このエラーは、チケットを送信するコンピューターのアドレスがチケットの有効なアドレスと異なる場合に発生する可能性があります。 この原因として、インターネット プロトコル (IP) アドレスの変更が考えられる可能性があります。 もう 1 つの考えられる原因は、チケットがプロキシ サーバーまたは NAT を経由して渡される場合です。 クライアントはプロキシ サーバーによって使用されるアドレススキームに気づいていないので、プログラムによってクライアントがプロキシ サーバーのソース アドレスを持つプロキシ サーバー チケットを要求しない限り、チケットが無効になる可能性があります。
0x27 KRB_AP_ERR_BADVERSION プロトコルのバージョン番号が一致しない (PVNO) アプリケーションが KRB_SAFEを受信すると、そのメッセージが確認されます。 エラーが発生した場合は、アプリケーションで使用するためにエラー コードが報告されます。
メッセージは、プロトコルのバージョンと型フィールドが現在のバージョンと KRB_SAFE一致_SAFEされます。 不一致は KRB_AP_ERR_BADVERSION を生成します。
詳細 については、「RFC4120」 を参照してください。
0x28 KRB_AP_ERR_MSG_TYPE メッセージの種類がサポートされていません このメッセージは、ターゲット サーバーがメッセージ形式が間違っていると見つけたときに生成されます。 これは、KRB_AP_REQ、KRB_SAFE、KRB_PRIVおよび KRB_CRED メッセージに適用されます。
このエラーは、ユーザー間認証で UDP プロトコルの使用が試行されている場合にも生成されます。
0x29 KRB_AP_ERR_MODIFIED メッセージ ストリームが変更され、チェックサムが一致しなかった 認証データは、目的のサーバーの間違ったキーで暗号化されました。
認証データは、ハードウェアまたはソフトウェア エラー、または攻撃者によって転送中に変更されました。
クライアントが認証データを間違ったサーバーに送信した理由は、DNS データが正しくないと、クライアントが間違ったサーバーに要求を送信したためです。
DNS データがクライアントで古いため、クライアントは認証データを間違ったサーバーに送信しました。
0x2A KRB_AP_ERR_BADORDER メッセージの順序が変更される (改ざんの可能性があります) このイベントは、正しくないシーケンス番号が含まれている場合、またはシーケンス番号が予期されているが存在しない場合に、KRB_SAFE および KRB_PRIV メッセージに対して生成されます。 詳細 については、「RFC4120」 を参照してください。
0x2C KRB_AP_ERR_BADKEYVER 指定されたバージョンのキーを使用できません このエラーは、無効な KRB_AP_REQ メッセージの受信中にサーバー側で生成される可能性があります。 KRB_AP_REQ の Ticket で示されるキー バージョンが、サーバーで使用できるキーではない場合 (古いキーを示し、サーバーが古いキーのコピーを所有しなくなった場合など)、KRB_AP_ERR_BADKEYVER エラーが返されます。
0x2D KRB_AP_ERR_NOKEY サービス キーが使用できない このエラーは、無効な KRB_AP_REQ メッセージの受信中にサーバー側で生成される可能性があります。 サーバーを複数の領域に登録し、それぞれに異なるキーを持つため、KRB_AP_REQ のチケットの暗号化されていない部分の領域フィールドを使用して、サーバーがチケットの暗号化解除に使用するシークレット キーを指定します。 KRB_AP_ERR_NOKEY エラー コードは、サーバーにチケットを解読するための適切なキーが存在しない場合に返されます。
0x2E KRB_AP_ERR_MUT_FAIL 相互認証に失敗しました 情報なし。
0x2F KRB_AP_ERR_BADDIRECTION メッセージの方向が正しくありません 情報なし。
0x30 KRB_AP_ERR_METHOD 代替認証方法が必要 RFC4120 によると、このエラー メッセージは使用されていません。
0x31 KRB_AP_ERR_BADSEQ メッセージ内のシーケンス番号が正しくありません 情報なし。
0x32 KRB_AP_ERR_INAPP_CKSUM メッセージ内のチェックサムの不適切な種類 (チェックサムがサポートされていない可能性があります) KDC が KRB_TGS_REQメッセージを受信すると、そのメッセージは復号化されます。 Authenticator のユーザーが指定したチェックサムを要求の内容に対して検証し、チェックサムが一致しない場合 (KRB_AP_ERR_MODIFIED のエラー コードで) またはチェックサムが競合防止ではない場合 (KRB_AP_ERR_ERR_INAPP\_CKSUM のエラー コードで) メッセージを拒否する必要があります。
0x33 KRB_AP_PATH_NOT_ACCEPTED 目的のパスに到達できない 情報なし。
0x34 KRB_ERR_RESPONSE_TOO_BIG データが多すぎます チケットのサイズが大きすぎて、UDP 経由で確実に送信されません。 このような環境Windowsメッセージは、純粋に情報的です。 UDP が失敗した場合、Windowsオペレーティング システムを実行しているコンピューターは自動的に TCP を試します。
0x3C KRB_ERR_GENERIC 汎用エラー グループ メンバーシップが PAC に過負荷を発生しました。
複数の最近のパスワード変更が反映されていない。
メモリが使い切れによる暗号化サブシステム エラー。
SPN が長すぎます。
SPN のパーツ数が多すぎます。
0x3D KRB_ERR_FIELD_TOOLONG この実装ではフィールドが長すぎます TCP ストリームで送信される各要求 (KRB_KDC_REQ) と応答 (KRB_KDC_REP または KRB_ERROR) の前に、ネットワーク バイト順で 4 オクテットとして要求の長さが先行します。 長さの高いビットは将来の拡張用に予約され、現在は 0 に設定されている必要があります。 長さエンコードの設定されたハイ ビットの解釈方法を理解していない KDC が、長さセットの高次ビットを持つ要求を受け取る場合は、KRB_ERR_FIELD_TOOLONG というエラーが表示された KRB-ERROR メッセージを返し、TCP ストリームを閉じる必要があります。
0x3E KDC_ERR_CLIENT_NOT_TRUSTED クライアント信頼が失敗した、または実装されていない これは通常、ユーザーのスマート カード証明書が取り消された場合や、スマート カード証明書を発行したルート証明機関 (チェーン内) がドメイン コントローラーによって信頼されていない場合に発生します。
0x3F KDC_ERR_KDC_NOT_TRUSTED KDC サーバーの信頼に失敗しましたか、検証できませんでした trustedCertifiers フィールドには、クライアントが KDC の公開キー証明書を所有していない場合に、クライアントによって信頼される証明機関の一覧が含まれる。 KDC に trustedCertifiers によって署名された証明書がない場合は、KDC_ERR_KDC_NOT_TRUSTED 型のエラーを返します。 詳細 については、「RFC1510」 を参照してください。
0x40 KDC_ERR_INVALID_SIG 署名が無効です このエラーは PKINIT に関連しています。 PKI の信頼関係が存在する場合、KDC は AuthPack (TGT 要求署名) でクライアントの署名を確認します。 このエラーが発生した場合、KDC は KDC_ERR_INVALID_SIG のエラー メッセージを返します。
0x41 KDC_ERR_KEY_TOO_WEAK より高い暗号化レベルが必要 clientPublicValue フィールドに入力し、クライアントが Diffie-Hellman キー契約を使用する場合、KDC はパラメーターがポリシーを満たしているかどうかをチェックします。 暗号化の種類が指定されていない場合 (たとえば、プライム サイズが不十分な場合)、KDC は KDC_ERR_KEY_TOO_WEAK というエラー メッセージを返します。
0x42 KRB_AP_ERR_USER_TO_USER_REQUIRED ユーザーからユーザーへの承認が必要 サービスがユーザー間認証を必要とするとクライアント アプリケーションが知らない場合、 従来の KRB_AP_REP を要求して受信すると、クライアントは KRB_AP_REP 要求を送信し、サーバーは RFC1964で説明されている KRB_ERROR トークンで応答し、msg-type の KRB_AP_ERR\_USER_TO_USER\_REQUIRED で応答します。
0x43 KRB_AP_ERR_NO_TGT TGT が提示または利用可能でなかった サービスがチケット付与チケットを所有していない場合、ユーザー間認証では、エラー KRB_AP_ERR_NO_TGT を返す必要があります。
0x44 KDC_ERR_WRONG_REALM 正しくないドメインまたはプリンシパル このエラーはほとんど発生しませんが、クライアントが TGT で指定された領域以外の領域にクロス領域 TGT を提示すると発生します。 通常、これは正しく構成されていない DNS の結果です。
  • Transited Services [Type = UnicodeString]: このフィールドには、Kerberos 委任が使用された場合に要求された SPN の一覧が含まれる。

****   メモ  サービス プリンシパル名 (SPN) は、クライアントがサービスのインスタンスを一意に識別する名前です。 フォレスト全体のコンピューターにサービスの複数のインスタンスをインストールする場合、各インスタンスには独自の SPN が必要です。 クライアントが認証に使用する名前が複数ある場合、特定のサービス インスタンスに複数の SPN を設定できます。 たとえば、SPN には常にサービス インスタンスが実行されているホスト コンピューターの名前が含まれるので、サービス インスタンスはホストの名前またはエイリアスごとに SPN を登録できます。

セキュリティ監視の推奨事項

4769(S, F): Kerberos サービス チケットが要求されました。

必要な監視の種類 推奨
高い価値を持つアカウント: 高い価値を持つドメインまたはローカル アカウントを使用している場合、各アクションを監視する必要があります。
高い価値を持つアカウントには、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービス アカウント、ドメイン コントローラー アカウントなどがあります。
高価値のアカウント またはアカウントに対応する "アカウント情報\ アカウント名" でこのイベントを監視します。
異常または悪意のあるアクション: 異常を検出したり、悪意のある可能性を持つアクションを監視したりするための特定の要件を持つ場合があります。 たとえば、勤務時間外のアカウント使用に監視が必要になる場合があります。 異常や悪意のあるアクションを監視する場合は 、"Account Information\Account Name" (その他の情報と一緒に) を使用して、特定のアカウントの使用方法や使用時間を監視します。
非アクティブなアカウント: アクティブでないアカウント、無効なアカウント、ゲスト アカウント、または絶対に使用してはいけないアカウントを持つ場合があります。 使用しないアカウント に対応する "アカウント情報\ アカウント名" でこのイベントを監視します。
外部アカウント: 別のドメインのアカウント、または特定のアクション (ある特定のイベントによって表される) を実行することを許可されていない “外部の” アカウントを監視している可能性があります。 このイベントを監視して 、別 のドメインまたは "外部" の場所に対応する "アカウント情報\アカウント ドメイン" を監視します。
制限されたコンピューターまたはデバイス: 特定のユーザー (アカウント) が通常のアクションを実行してはいけない特定のコンピューター、機器、またはデバイスを所有している場合があります。 対象の コンピューター ( または他のターゲット デバイス) を監視し、懸念される "アカウント情報 \アカウント名" によって実行されるアクションを確認します。
アカウントの命名規則: 組織によっては、アカウント名に固有の命名規則がある場合があります。 名前付け規則に準拠 しない名前については、「ユーザー ID」を監視します。
  • アカウント名が特定**** のコンピューター アカウントまたはサービス アカウントのチケットを要求しない (つまり、アクセス権を取得しない) ことを知っている場合は、対応する [アカウント名]**** フィールドと [サービスID] フィールドで4769イベントを監視します。

  • クライアント アドレスが内部 IP 範囲からではないか****、プライベート IP 範囲からではない4769イベントを追跡できます。

  • アカウント名が既知**** の許可 IP アドレスの一覧からのみチケットを要求できる必要がある場合は、4769 **** イベントでこのアカウント名**** のすべてのクライアント アドレス値を追跡します。 クライアント アドレスが IP アドレスの許可リストからではない場合は、アラートを生成します。

  • すべてのクライアント アドレス= ::1 はローカルの TGS**** 要求を意味します。つまり、アカウント名は TGS 要求を行う前にドメイン コントローラーにログオンしています。 ドメイン コントローラーへのログオンを許可するアカウントの許可リストがある場合は、クライアント アドレス = ::1 でイベントを監視し、許可リストの外部のアカウント を使用します。

  • 既知のポートが送信接続に使用されたため、クライアントポート フィールド値 0 と 1024 の4769イベントはすべて > 調べる < 必要があります。

  • DES アルゴリズムが使用された0x1または0x3のチケット****暗号化の種類を監視します。 DES は、セキュリティが低く、既知の脆弱性のために使用する必要があります。 既定では、サーバー 7 およびサーバー 2008 R2 Windowsから無効Windows無効になっています。

  • Windows Vista および Windows Server 2008 以降で、チケット暗号化の種類****(0x11 および 0x12) を監視します。 これらは、これらのオペレーティング システムから始まる予期される値であり、AES ファミリ アルゴリズムを表します。

  • 重要なエラー コードの一覧 がある場合は、これらのコードを監視します。