4769 (S, F): Kerberos サービスチケットが要求されました。4769(S, F): A Kerberos service ticket was requested.

適用対象Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016
Event 4769 illustration

サブカテゴリ: Kerberos サービスチケットの操作を監査するSubcategory: Audit Kerberos Service Ticket Operations

イベントの説明:Event Description:

このイベントは、Kerberos チケット交付サービス (TGS) チケット要求を取得するたびに、キー配布センターに毎回生成されます。This event generates every time Key Distribution Center gets a Kerberos Ticket Granting Service (TGS) ticket request.

このイベントは、ドメインコントローラーでのみ生成されます。This event generates only on domain controllers.

TGS の問題が発生した場合、[エラーコード] フィールドが "0x0" と等しくないというエラーが表示されます。If TGS issue fails then you will see Failure event with Failure Code field not equal to “0x0”.

通常、失敗コードが "0X20" のエラーイベントが表示されます。これは、単に TGS チケットの有効期限が切れていることを意味します。You will typically see many Failure events with Failure Code0x20”, which simply means that a TGS ticket has expired. これらは情報メッセージであり、セキュリティの関連性はほとんどありません。These are informational messages and have little to no security relevance.

**** 注 推奨事項については、「このイベントのセキュリティ監視に関する推奨事項」を参照してください。Note  For recommendations, see Security Monitoring Recommendations for this event.


イベント XML:Event XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4769</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14337</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-08-07T18:13:46.043256100Z" />
<EventRecordID>166746</EventRecordID>
<Correlation />
<Execution ProcessID="520" ThreadID="1496" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="TargetUserName">dadmin@CONTOSO.LOCAL</Data>
<Data Name="TargetDomainName">CONTOSO.LOCAL</Data>
<Data Name="ServiceName">WIN2008R2$</Data>
<Data Name="ServiceSid">S-1-5-21-3457937927-2839227994-823803824-2102</Data>
<Data Name="TicketOptions">0x40810000</Data>
<Data Name="TicketEncryptionType">0x12</Data>
<Data Name="IpAddress">::ffff:10.0.0.12</Data>
<Data Name="IpPort">49272</Data>
<Data Name="Status">0x0</Data>
<Data Name="LogonGuid">{F85C455E-C66E-205C-6B39-F6C60A7FE453}</Data>
<Data Name="TransmittedServices">-</Data>
</EventData>
</Event>

必要なサーバーの役割: Active Directory ドメインコントローラー。Required Server Roles: Active Directory domain controller.

OS の最小バージョン: Windows Server 2008Minimum OS Version: Windows Server 2008.

イベントのバージョン: 0.Event Versions: 0.

フィールドの説明:Field Descriptions:

アカウント情報:Account Information:

  • アカウント名\ [Type = UnicodeString ]: ユーザープリンシパル名 (UPN) 構文でチケットを要求したアカウントのユーザー名。Account Name [Type = UnicodeString]: the user name of the account that requested the ticket in the User Principal Name (UPN) syntax. コンピューターアカウント名は、 $ ユーザー名部分の文字で終わります。Computer account name ends with $ character in the user name part. 通常、このフィールドの値の形式は次のとおりです: user_account_name @ FULL_DOMAIN_NAME.This field typically has the following value format: user_account_name@FULL\_DOMAIN\_NAME.

    • ユーザーアカウントの例: dadmin @ CONTOSO. ローカルUser account example: dadmin@CONTOSO.LOCAL

    • コンピュータアカウント例: WIN81 $ @CONTOSO。地元のComputer account example: WIN81$@CONTOSO.LOCAL

      このフィールドは UPN 形式になっていますが、これはユーザーアカウントの "UserPrincipalName" の属性値ではありません。Note Although this field is in the UPN format, this is not the attribute value of "UserPrincipalName" of the user account. これは、"正規化された" 名前または暗黙的な UPN です。It is the "normalized" name or implicit UPN. これは、ユーザー SamAccountName と Active Directory ドメイン名に基づいて作成されます。It is built from the user SamAccountName and the Active Directory domain name.

      このイベントのパラメーターは省略可能であり、場合によっては空にすることができます。This parameter in this event is optional and can be empty in some cases.

  • アカウントドメイン\ [Type = UnicodeString ]: アカウント名が属している Kerberos 領域の名前。Account Domain [Type = UnicodeString]: the name of the Kerberos Realm that Account Name belongs to. これは、次のようなさまざまな形式で表示されます。This can appear in a variety of formats, including the following:

    • ドメイン NETBIOS 名の例: CONTOSODomain NETBIOS name example: CONTOSO

    • 小文字の完全なドメイン名: contoso. ローカルLowercase full domain name: contoso.local

    • 大文字の完全なドメイン名: CONTOSO。地元のUppercase full domain name: CONTOSO.LOCAL

      このイベントのパラメーターは省略可能であり、場合によっては空にすることができます。This parameter in this event is optional and can be empty in some cases.

  • ログオン guid \ [TYPE = GUID ]: このイベント (ドメインコントローラー) と、同じログオン GUIDを含むことができる他のイベント (たとえば、TGS が発行されたターゲットコンピューター上) との関連付けを支援する guid です。Logon GUID [Type = GUID]: a GUID that can help you correlate this event (on a domain controller) with other events (on the target computer for which the TGS was issued) that can contain the same Logon GUID. これらのイベントは、"4624: アカウントが正常にログインしました", "4648(s): 明示的な資格情報を使用してログオンしようとしました" と "4964(s): 特別なグループは、新しいログオンに割り当てられています")。These events are “4624: An account was successfully logged on”, “4648(S): A logon was attempted using explicit credentials” and “4964(S): Special groups have been assigned to a new logon.”

    このパラメーターはイベント内でキャプチャされず、その場合は "{00000000-0000-0000-0000-000000000000}" と表示されることがあります。This parameter might not be captured in the event, and in that case appears as “{00000000-0000-0000-0000-000000000000}”.

**** 注 GUIDは、"グローバル一意識別子" の略語です。Note  GUID is an acronym for 'Globally Unique Identifier'. この値は、リソース、アクティビティ、またはインスタンスを識別するために使用される128ビットの整数です。It is a 128-bit integer number used to identify resources, activities or instances.

サービス情報:Service Information:

  • サービス名\ [Type = UnicodeString ]: TGS チケットが要求されたアカウントまたはコンピューターの名前。Service Name [Type = UnicodeString]: the name of the account or computer for which the TGS ticket was requested.

    • このイベントのパラメーターは省略可能であり、場合によっては空にすることができます。This parameter in this event is optional and can be empty in some cases.
  • サービス ID \ [TYPE = SID ]: TGS のチケットが要求されたアカウントまたはコンピューターオブジェクトの SID。Service ID [Type = SID]: SID of the account or computer object for which the TGS ticket was requested. イベントビューアーが自動的に Sid の解決を試み、アカウント名を表示します。Event Viewer automatically tries to resolve SIDs and show the account name. SID を解決できない場合、イベントにソースデータが表示されます。If the SID cannot be resolved, you will see the source data in the event.

    • [ NULL SID ]: この値は、失敗イベントを示します。NULL SID – this value shows in Failure events.

注:  セキュリティ識別子 (SID) は、トラスティ (セキュリティプリンシパル) を識別するために使用される可変長の一意の値です。Note  A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). 各アカウントには、Active Directory ドメインコントローラーなどの機関によって発行され、セキュリティデータベースに格納されている、固有の SID があります。Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセストークンにそれを配置します。Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. システムは、アクセストークン内の SID を使って、Windows セキュリティとの以降のすべての操作でユーザーを識別します。The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. SID がユーザーまたはグループの一意の識別子として使用されている場合は、もう一度使用して別のユーザーまたはグループを識別することはできません。When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Sid の詳細については、「セキュリティ識別子」を参照してください。For more information about SIDs, see Security identifiers.

ネットワーク情報:Network Information:

  • クライアントアドレス\ [Type = UnicodeString ]: TGS 要求を受信したコンピューターの IP アドレス。Client Address [Type = UnicodeString]: IP address of the computer from which the TGS request was received. 次のような形式があります。Formats vary, and include the following:

    • IPv6またはIPv4アドレス。IPv6 or IPv4 address.

    • :: ffff: IPv4_address::ffff:IPv4_address.

    • :: 1 -localhost。::1 - localhost.

  • クライアントポート\ [Type = UnicodeString ]: クライアントネットワーク接続のソースポート (TGS 要求接続)。Client Port [Type = UnicodeString]: source port number of client network connection (TGS request connection).

    • 0ローカル (localhost) 要求の場合は0です。0 for local (localhost) requests.

追加情報:Additional information:

  • チケットオプション: \ [Type = HexInt32 ]: これは、16進数形式のさまざまなチケットフラグのセットです。Ticket Options: [Type = HexInt32]: this is a set of different Ticket Flags in hexadecimal format.

    例:Example:

    • チケットオプション: 0x40810010Ticket Options: 0x40810010

    • バイナリビュー: 01000000100000010000000000010000Binary view: 01000000100000010000000000010000

    • MSB 0のビット番号を使うと、1、8、15、27の各セット = [転送可能]、[更新可能]、[正規化]、[更新可能] になります。Using MSB 0 bit numbering we have bit 1, 8, 15 and 27 set = Forwardable, Renewable, Canonicalize, Renewable-ok.

**** 次の表の "MSB 0" ビット番号は、RFC ドキュメントではこのスタイルを使用しているため使用されています。  Note  In the table below “MSB 0” bit numbering is used, because RFC documents use this style. "MSB 0" スタイルのビット番号は、左端から始まります。In “MSB 0” style bit numbering begins from left.
MSB illustration

最も一般的な値は次のとおりです。The most common values:

  • 0x40810010-転送可能、更新可能、正規化、更新可能-ok0x40810010 - Forwardable, Renewable, Canonicalize, Renewable-ok

  • 0x40810000-転送可能、更新可能、正規化0x40810000 - Forwardable, Renewable, Canonicalize

  • 0x60810010-転送可能、転送済み、更新可能、正規化、更新可能-ok0x60810010 - Forwardable, Forwarded, Renewable, Canonicalize, Renewable-ok

わずかBit フラグ名Flag Name 説明Description
00 保存Reserved -
1 可能Forwardable (TGT のみ)。(TGT only). 提示された tgt に基づく新しい TGT を、提示された tgt に基づいて別のネットワークアドレスで発行できるように、チケット交付サービスに指示します。Tells the ticket-granting service that it can issue a new TGT—based on the presented TGT—with a different network address based on the presented TGT.
両面2 フォワードForwarded TGT が転送されたこと、または転送された TGT からチケットが発行されたことを示します。Indicates either that a TGT has been forwarded or that a ticket was issued from a forwarded TGT.
-3 ProxiableProxiable (TGT のみ)。(TGT only). TGT のものとは異なるネットワークアドレスを使ってチケットを発行できることを、チケット交付サービスに伝えます。Tells the ticket-granting service that it can issue tickets with a network address that differs from the one in the TGT.
4d4 プロキシProxy チケットのネットワークアドレスが、チケットを取得するために使用した TGT のものとは異なることを示します。Indicates that the network address in the ticket is different from the one in the TGT used to obtain the ticket.
5 許可-事後日付Allow-postdate 先日付チケットは、Kile (Microsoft Kerberos プロトコル拡張機能) でサポートされていない必要があります。Postdated tickets SHOULD NOT be supported in KILE (Microsoft Kerberos Protocol Extension).
=6 先日Postdated 先日付チケットは、Kile (Microsoft Kerberos プロトコル拡張機能) でサポートされていない必要があります。Postdated tickets SHOULD NOT be supported in KILE (Microsoft Kerberos Protocol Extension).
7 ライセンスが無効Invalid このフラグは、チケットが無効であり、使用する前に KDC によって検証する必要があることを示します。This flag indicates that a ticket is invalid, and it must be validated by the KDC before use. アプリケーションサーバーは、このフラグを設定したチケットを拒否する必要があります。Application servers must reject tickets which have this flag set.
8 再生Renewable "終了時刻" と "更新間隔" の組み合わせで使用され、長期間のチケットを定期的に更新することができます。Used in combination with the End Time and Renew Till fields to cause tickets with long life spans to be renewed at the KDC periodically.
ファイブ9 初期Initial チケットは、認証サービス (AS) exchange を使用して発行され、TGT に基づいて発行されていないことを示します。Indicates that a ticket was issued using the authentication service (AS) exchange and not issued based on a TGT.
常用10 事前認証Pre-authent チケットが発行される前に、クライアントが KDC によって認証されたことを示します。Indicates that the client was authenticated by the KDC before a ticket was issued. 通常、このフラグは、チケット内のオーセンティケータが存在することを示します。This flag usually indicates the presence of an authenticator in the ticket. また、スマートカードログオンから取得した資格情報の存在にもフラグを付けることができます。It can also flag the presence of credentials taken from a smart card logon.
折り11 オプトイン-ハードウェア-認証Opt-hardware-auth このフラグは、ハードウェアでサポートされている認証が事前認証中に使用されたことを示すためのものです。This flag was originally intended to indicate that hardware-supported authentication was used during pre-authentication. このフラグは、Kerberos V5 プロトコルでは推奨されなくなりました。This flag is no longer recommended in the Kerberos V5 protocol. Kdc は、このフラグを設定したチケットを発行することはできません。KDCs MUST NOT issue a ticket with this flag set. Kdc は、別の KDC によって設定されている場合は、このフラグを保持しないようにします。KDCs SHOULD NOT preserve this flag if it is set by another KDC.
以内12 トランザクションポリシー-チェック済みTransited-policy-checked KILE は、サーバーまたは KDC 上の transited を確認する必要はありません。KILE MUST NOT check for transited domains on servers or a KDC. アプリケーションサーバーは、TRANSITED いるポリシーチェックフラグを無視する必要があります。Application servers MUST ignore the TRANSITED-POLICY-CHECKED flag.
1413 代理人としてのデリゲートOk-as-delegate サービスアカウントが委任に対して信頼されている場合は、KDC は "代理人として使用する" フラグを設定する必要があります。The KDC MUST set the OK-AS-DELEGATE flag if the service account is trusted for delegation.
1414 要求-匿名Request-anonymous このフラグは使用しません。KILE not use this flag.
マート15 名前-正規化Name-canonicalize 参照を要求するために、Kerberos クライアントは、REQ または TGS の "正規化" KDC オプションを明示的に要求する必要があります。In order to request referrals the Kerberos client MUST explicitly request the “canonicalize” KDC option for the AS-REQ or TGS-REQ.
16-2516-25 しないUnused -
#26 無効化-トランザクションのチェックDisable-transited-check 既定では、KDC は、tgt に基づいて派生したチケットを発行する前に、その TGT のフィールドをローカルのレルムのポリシーに照らして確認します。By default the KDC will check the transited field of a TGT against the policy of the local realm before it will issue derivative tickets based on the TGT. このフラグが要求で設定された場合は、transited フィールドのチェックが無効になります。If this flag is set in the request, checking of the transited field is disabled. このチェックのパフォーマンスが適用されていない発行チケットには、transited ポリシーチェック "フラグの reset (0) 値が表示されます。これは、transited フィールドをローカルで確認する必要があるアプリケーションサーバーを示しています。Tickets issued without the performance of this check will be noted by the reset (0) value of the TRANSITED-POLICY-CHECKED flag, indicating to the application server that the transited field must be checked locally. Kdc は推奨されますが、優先する必要はありませんKDCs are encouraged but not required to honor
[無効にする] チェックボックスをオンにします。the DISABLE-TRANSITED-CHECK option.
は、指定したポリシーを使用している必要はありません。これらのフラグがオンになっている場合は、KILE はサポートされません。Should not be in use, because Transited-policy-checked flag is not supported by KILE.
27 更新前-okRenewable-ok [更新可能-OK] オプションは、要求された寿命を持つチケットが提供されない場合に、更新可能なチケットが受け入れられることを示します。その場合は、要求された終了時刻に等しい更新を使用して、更新可能なチケットを発行することができます。The RENEWABLE-OK option indicates that a renewable ticket will be acceptable if a ticket with the requested life cannot otherwise be provided, in which case a renewable ticket may be issued with a renew-till equal to the requested end time. 更新までの期間フィールドの値は、ローカルの制限または個々のプリンシパルまたはサーバーによって選択された制限によって制限されている可能性があります。The value of the renew-till field may still be limited by local limits, or limits selected by the individual principal or server.
28 Tkt-skeyEnc-tkt-in-skey 情報がありません。No information.
2929 しないUnused -
求める30 更新Renew [更新] オプションは、present 要求が更新の対象であることを示します。The RENEW option indicates that the present request is for a renewal. 指定されたチケットは、有効なサーバーの秘密キーで暗号化されます。The ticket provided is encrypted in the secret key for the server on which it is valid. このオプションが有効になるのは、更新するチケットの更新可能フラグが設定されていて、その更新が必要な時間が過ぎていない場合のみです。This option will only be honored if the ticket to be renewed has its RENEWABLE flag set and if the time in its renew-till field has not passed. 更新されるチケットは、認証ヘッダーの一部として padata フィールドに渡されます。The ticket to be renewed is passed in the padata field as part of the authentication header.
3131 検証Validate このオプションは、チケット交付サービスによってのみ使用されます。This option is used only by the ticket-granting service. [検証] オプションは、要求が遅延チケットを検証することを示します。The VALIDATE option indicates that the request is to validate a postdated ticket. は、お使いになっていません。先日付チケットは KILE はサポートされていません。Should not be in use, because postdated tickets are not supported by KILE.
# # Table 4。## Table 4. Kerberos 暗号化の種類Kerberos encryption types
  • チケット暗号化の種類: \ [Type = HexInt32 ]: 発行された TGS に使用された暗号化スイート。Ticket Encryption Type: [Type = HexInt32]: the cryptographic suite that was used for issued TGS.
種類Type 名前を入力Type Name 説明Description
0x10x1 DES-CRCDES-CBC-CRC Windows 7 および Windows Server 2008 R2 以降では、既定では無効になります。Disabled by default starting from Windows 7 and Windows Server 2008 R2.
0x30x3 DES-CBC-MD5DES-CBC-MD5 Windows 7 および Windows Server 2008 R2 以降では、既定では無効になります。Disabled by default starting from Windows 7 and Windows Server 2008 R2.
0x110x11 AES128-(CTS-HMAC-SHA1-96)AES128-CTS-HMAC-SHA1-96 Windows Server 2008 および Windows Vista 以降でサポートされています。Supported starting from Windows Server 2008 and Windows Vista.
0x120x12 AES256-(CTS-HMAC-SHA1-96)AES256-CTS-HMAC-SHA1-96 Windows Server 2008 および Windows Vista 以降でサポートされています。Supported starting from Windows Server 2008 and Windows Vista.
0x170x17 RC4-HMACRC4-HMAC Windows Server 2008 および Windows Vista 以前のオペレーティングシステムの既定のスイートです。Default suite for operating systems before Windows Server 2008 and Windows Vista.
0x180x18 RC4-HMAC-EXPRC4-HMAC-EXP Windows Server 2008 および Windows Vista 以前のオペレーティングシステムの既定のスイートです。Default suite for operating systems before Windows Server 2008 and Windows Vista.
0xFFFFFFFF または0xffffffff0xFFFFFFFF or 0xffffffff - この型は、監査失敗イベントに表示されます。This type shows in Audit Failure events.
  • エラーコード\ [Type = HexInt32 ]: TGS の問題操作の16進数の結果コード。Failure Code [Type = HexInt32]: hexadecimal result code of TGS issue operation. 以下の表に、このイベントの最も一般的なエラーコードの一覧を示します。The table below contains the list of the most common error codes for this event:
コードCode コード名Code Name 説明Description 考えられる原因Possible causes
1000x0 KDC(なし)KDC_ERR_NONE エラーなしNo error エラーは検出されませんでした。No errors were found.
0x10x1 KDCEXP (_F)KDC_ERR_NAME_EXP KDC データベースのクライアントのエントリの有効期限が切れているClient's entry in KDC database has expired 情報がありません。No information.
0x20x2 SKYPE サービスのご両方のお支払方法KDC_ERR_SERVICE_EXP KDC データベースのサーバーエントリの有効期限が切れているServer's entry in KDC database has expired 情報がありません。No information.
0x30x3 "PVNO" (PVNO)KDC_ERR_BAD_PVNO 要求された Kerberos バージョン番号はサポートされていませんRequested Kerberos version number not supported 情報がありません。No information.
0x40x4 KDC_ERR_C_OLD_MAST_KVNOKDC_ERR_C_OLD_MAST_KVNO 古いマスターキーで暗号化されたクライアントのキーClient's key encrypted in old master key 情報がありません。No information.
0x50x5 KDC_ERR_S_OLD_MAST_KVNOKDC_ERR_S_OLD_MAST_KVNO 古いマスターキーで暗号化されたサーバーのキーServer's key encrypted in old master key 情報がありません。No information.
0x60x6 KDC_ERR_C_PRINCIPAL_UNKNOWNKDC_ERR_C_PRINCIPAL_UNKNOWN Kerberos データベースにクライアントが見つかりませんClient not found in Kerberos database ユーザ名が存在しません。The username doesn’t exist.
0x70x7 SKYPE のその他の方法 (_F)KDC_ERR_S_PRINCIPAL_UNKNOWN Kerberos データベースにサーバーが見つかりませんServer not found in Kerberos database このエラーは、ドメインコントローラーが Active Directory でサーバー名を見つけられない場合に発生する可能性があります。This error can occur if the domain controller cannot find the server’s name in Active Directory. このエラーは KDC_ERR_C_PRINCIPAL_UNKNOWN に似ていますが、サーバー名が見つからない場合に発生する点が異なります。This error is similar to KDC_ERR_C_PRINCIPAL_UNKNOWN except that it occurs when the server name cannot be found.
0x80x8 SKYPE の固有の方法 (_F/独自性)KDC_ERR_PRINCIPAL_NOT_UNIQUE KDC データベースの複数のプリンシパルエントリMultiple principal entries in KDC database このエラーは、重複するプリンシパル名が存在する場合に発生します。This error occurs if duplicate principal names exist. 相互認証を確実に行うには、一意のプリンシパル名が重要です。Unique principal names are crucial for ensuring mutual authentication. そのため、重複するプリンシパル名は、複数のレルム間でも、完全に禁止されています。Thus, duplicate principal names are strictly forbidden, even across multiple realms. 一意のプリンシパル名がない場合、クライアントは、通信しているサーバーが正しいものであることを確認する方法はありません。Without unique principal names, the client has no way of ensuring that the server it is communicating with is the correct one.
0x90x9 KDC_ERR_NULL_KEYKDC_ERR_NULL_KEY クライアントまたはサーバーが null キー (マスターキー) を持っているThe client or server has a null key (master key) クライアントまたはサーバーのマスタキーが見つかりませんでした。No master key was found for client or server. 通常、管理者がアカウントのパスワードをリセットする必要があることを意味します。Usually it means that administrator should reset the password on the account.
0xA0xA KDC_ERR_CANNOT_POSTDATEKDC_ERR_CANNOT_POSTDATE チケット (TGT) は、事後対応の対象にはなりませんTicket (TGT) not eligible for postdating このエラーは、Kerberos チケットの前にクライアントから要求があった場合に発生する可能性があります。This error can occur if a client requests postdating of a Kerberos ticket. Postdating は、チケットの開始時刻を将来のものとして設定することを要求する行為です。Postdating is the act of requesting that a ticket’s start time be set into the future.
クライアントと KDC の時間差がある場合にも発生する可能性があります。It also can occur if there is a time difference between the client and the KDC.
0xB0xB KDC_ERR_NEVER_VALIDKDC_ERR_NEVER_VALID 要求された開始時刻が終了時刻より後になっていますRequested start time is later than end time KDC とクライアントの時差があります。There is a time difference between the KDC and the client.
0xC0xC POLICY (ポリシー)KDC_ERR_POLICY 要求された開始時刻が終了時刻より後になっていますRequested start time is later than end time 通常、このエラーはユーザーのアカウントに設定されたログオン制限が原因で発生します。This error is usually the result of logon restrictions in place on a user’s account. 例として、ワークステーションの制限、スマートカード認証の要件、またはログオン時間の制限があります。For example workstation restriction, smart card authentication requirement or logon time restriction.
0xD0xD KDC(オプション)KDC_ERR_BADOPTION KDC が要求されたオプションに対応できないKDC cannot accommodate requested option まもなく TGT の有効期限が切れます。Impending expiration of a TGT.
クライアントが資格情報を委任しようとしている SPN は、許可されているデリゲート先のリストに含まれていませんThe SPN to which the client is attempting to delegate credentials is not in its Allowed-to-delegate-to list
0xE0xE KDCO (_D) (_R)KDC_ERR_ETYPE_NOTSUPP KDC で暗号化の種類がサポートされていないKDC has no support for encryption type 一般的に、このエラーは、KDC またはクライアントが、解読できないパケットを受信した場合に発生します。In general, this error occurs when the KDC or a client receives a packet that it cannot decrypt.
0xF0xF KDC\ ・・・・・ (KDC_ERR_SUMTYPE_NOSUPP KDC にチェックサムタイプのサポートがありませんKDC has no support for checksum type KDC、サーバー、またはクライアントは、適切な暗号化の種類のキーがないパケットを受信します。The KDC, server, or client receives a packet for which it does not have a key of the appropriate encryption type. 結果として、コンピューターはチケットの暗号化を解除できません。The result is that the computer is unable to decrypt the ticket.
0x100x10 KDC_ERR_PADATA_TYPE_NOSUPPKDC_ERR_PADATA_TYPE_NOSUPP KDC には PADATA type (事前認証データ) のサポートがありませんKDC has no support for PADATA type (pre-authentication data) スマートカードログオンが試行されていますが、適切な証明書が見つかりません。Smart card logon is being attempted and the proper certificate cannot be located. この問題は、間違った証明機関 (CA) が照会されているか、適切な CA に接続できないことが原因で発生する可能性があります。This can happen because the wrong certification authority (CA) is being queried or the proper CA cannot be contacted.
また、スマートカード (ドメインコントローラーまたはドメインコントローラーの認証テンプレート) 用の証明書がドメインコントローラーにインストールされていない場合にも発生する可能性があります。It can also happen when a domain controller doesn’t have a certificate installed for smart cards (Domain Controller or Domain Controller Authentication templates).
このエラーコードは、イベント "4768では発生しません。This error code cannot occur in event “4768. Kerberos 認証チケット (TGT) が要求されました。A Kerberos authentication ticket (TGT) was requested”. "4771で発生します。It occurs in “4771. Kerberos 事前認証に失敗しました "イベント。Kerberos pre-authentication failed” event.
0x110x11 「いいね!」 (または「いいね!」)KDC_ERR_TRTYPE_NO_SUPP KDC は transited 型のサポートをサポートしていませんKDC has no support for transited type 情報がありません。No information.
0x120x12 KDC_ERR_CLIENT_REVOKEDKDC_ERR_CLIENT_REVOKED クライアントの資格情報は失効していますClient’s credentials have been revoked これは、明示的な無効化またはアカウントに関するその他の制限が原因である可能性があります。This might be because of an explicit disabling or because of other restrictions in place on the account. たとえば、アカウントが無効になっているか、期限切れになっているか、ロックされています。For example: account disabled, expired, or locked out.
0x130x13 SKYPE サービス \ または「失効」 ()KDC_ERR_SERVICE_REVOKED サーバーの資格情報は失効していますCredentials for server have been revoked 情報がありません。No information.
0x140x14 KDC_ERR_TGT_REVOKEDKDC_ERR_TGT_REVOKED TGT は失効していますTGT has been revoked リモート KDC は、PKCROSS チケットがまだアクティブである場合は、PKCROSS キーを変更する可能性があるため、最後に発行された PKCROSS チケットの有効期限が切れるまで、古い pkcross をキャッシュする必要があります。Since the remote KDC may change its PKCROSS key while there are PKCROSS tickets still active, it SHOULD cache the old PKCROSS keys until the last issued PKCROSS ticket expires. そうしないと、リモート KDC は KDC_ERR_TGT_REVOKED. という種類の KRB エラーメッセージを持つクライアントに応答します。Otherwise, the remote KDC will respond to a client with a KRB-ERROR message of type KDC_ERR_TGT_REVOKED. 詳細については、「 RFC1510 」を参照してください。See RFC1510 for more details.
0x150x15 KDC_ERR_CLIENT_NOTYETKDC_ERR_CLIENT_NOTYET クライアントはまだ有効ではありません。後ほどもう一度お試しください。Client not yet valid—try again later 情報がありません。No information.
0x160x16 現在のところ、SKYPE サービスをご了承ください </span>KDC_ERR_SERVICE_NOTYET サーバーがまだ有効ではありません。後ほどもう一度お試しください。Server not yet valid—try again later 情報がありません。No information.
0x170x17 SKYPE の有効期限が切れているKDC_ERR_KEY_EXPIRED パスワードの有効期限が切れました。リセットするパスワードを変更してくださいPassword has expired—change password to reset ユーザーのパスワードの有効期限が切れています。The user’s password has expired.
このエラーコードは、イベント "4768では発生しません。This error code cannot occur in event “4768. Kerberos 認証チケット (TGT) が要求されました。A Kerberos authentication ticket (TGT) was requested”. "4771で発生します。It occurs in “4771. Kerberos 事前認証に失敗しました "イベント。Kerberos pre-authentication failed” event.
0x180x18 SKYPE 認証に失敗しました (_R)KDC_ERR_PREAUTH_FAILED 事前認証情報が無効でしたPre-authentication information was invalid 入力したパスワードが間違っています。The wrong password was provided.
このエラーコードは、イベント "4768では発生しません。This error code cannot occur in event “4768. Kerberos 認証チケット (TGT) が要求されました。A Kerberos authentication ticket (TGT) was requested”. "4771で発生します。It occurs in “4771. Kerberos 事前認証に失敗しました "イベント。Kerberos pre-authentication failed” event.
0x190x19 SKYPE に関する必須の要件 (_R)KDC_ERR_PREAUTH_REQUIRED 追加の事前認証が必要Additional pre-authentication required このエラーは多くの場合、UNIX の相互運用シナリオで発生します。This error often occurs in UNIX interoperability scenarios. MIT-Kerberos クライアントは、KRB_AS_REQ メッセージを送信するときに事前認証を要求しません。MIT-Kerberos clients do not request pre-authentication when they send a KRB_AS_REQ message. 事前認証が必要な場合 (既定)、Windows システムではこのエラーが送信されます。If pre-authentication is required (the default), Windows systems will send this error. ほとんどの MIT-Kerberos クライアントは、事前認証を行うことによってこのエラーに応答します。この場合、エラーを無視することができますが、一部のクライアントはこの方法で応答しない可能性があります。Most MIT-Kerberos clients will respond to this error by giving the pre-authentication, in which case the error can be ignored, but some clients might not respond in this way.
0x1A0x1A SKYPE について (_F)KDC_ERR_SERVER_NOMATCH KDC が要求されたサーバーを把握していないKDC does not know about the requested server 情報がありません。No information.
0x1B0x1B ユーザの使い方 (_P/ユーザー名/ユーザー名)KDC_ERR_MUST_USE_USER2USER User2user のみ有効なサーバープリンシパルServer principal valid for user2user only このエラーは、サービスに SPN がないことが原因で発生します。This error occurs because the service is missing an SPN.
0x1F0x1F KRB_AP_ERR_BAD_INTEGRITYKRB_AP_ERR_BAD_INTEGRITY 暗号化解除されたフィールドの整合性チェックに失敗しましたIntegrity check on decrypted field failed オーセンティケータは、セッションキー以外の何らかの方法で暗号化されました。The authenticator was encrypted with something other than the session key. 結果として返されるメッセージの暗号化を解除することはできません。The result is that the client cannot decrypt the resulting message. メッセージの変更は、攻撃の結果だった、またはネットワークの雑音が原因である可能性があります。The modification of the message could be the result of an attack or it could be because of network noise.
0x200x20 KRB_AP_ERR_TKT_EXPIREDKRB_AP_ERR_TKT_EXPIRED チケットの有効期限が切れているThe ticket has expired "ユーザーチケットの最大有効期間" Kerberos ポリシー設定の値が小さいほど、このエラーが発生する可能性が高くなります。The smaller the value for the “Maximum lifetime for user ticket” Kerberos policy setting, the more likely it is that this error will occur. チケットの更新は自動で行われるため、このメッセージが表示された場合は何もする必要はありません。Because ticket renewal is automatic, you should not have to do anything if you get this message.
0x210x21 KRB_AP_ERR_TKT_NYVKRB_AP_ERR_TKT_NYV このチケットはまだ有効ではありませんThe ticket is not yet valid サーバーに提示されたチケットはまだ有効ではありません (サーバーの時刻との関係)。The ticket presented to the server is not yet valid (in relationship to the server time). 最も可能性が高い原因は、KDC のクロックとクライアントが同期されていないことです。The most probable cause is that the clocks on the KDC and the client are not synchronized.
レルム間の Kerberos 認証を行おうとしている場合は、ターゲット領域の KDC とクライアント領域の KDC の間の時刻同期も確認する必要があります。If cross-realm Kerberos authentication is being attempted, then you should verify time synchronization between the KDC in the target realm and the KDC in the client realm, as well.
0x220x22 KRB_AP_ERR_REPEATKRB_AP_ERR_REPEAT 要求は再生ですThe request is a replay このエラーは、特定の認証システムが2回表示されたことを示します。 KDC は、このセッションチケットが既に受信したものと重複していることを検出しました。This error indicates that a specific authenticator showed up twice — the KDC has detected that this session ticket duplicates one that it has already received.
0x230x23 KRB_AP_ERR_NOT_USKRB_AP_ERR_NOT_US このチケットは弊社向けではありませんThe ticket is not for us サーバは、別のレルムを対象としたチケットを受け取りました。The server has received a ticket that was meant for a different realm.
0x240x24 KRB_AP_ERR_BADMATCHKRB_AP_ERR_BADMATCH チケットと認証システムが一致しませんThe ticket and authenticator do not match KRB_TGS_REQ が間違った KDC に送信されています。The KRB_TGS_REQ is being sent to the wrong KDC.
プロトコル切り替え中にアカウントの不一致が発生しています。There is an account mismatch during protocol transition.
0x250x25 KRB_AP_ERR_SKEWKRB_AP_ERR_SKEW 時計のスキューが大きすぎますThe clock skew is too great このエラーは、サーバーのタイムスタンプの値が、Kerberos ポリシーの [コンピューターの時計の同期の最大トレランス] 設定で発生した分数を超えている場合に、ログに記録されます。This error is logged if a client computer sends a timestamp whose value differs from that of the server’s timestamp by more than the number of minutes found in the “Maximum tolerance for computer clock synchronization” setting in Kerberos policy.
0x260x26 KRB_AP_ERR_BADADDRKRB_AP_ERR_BADADDR ネットワークレイヤーヘッダーのネットワークアドレスがチケット内のアドレスと一致しないNetwork address in network layer header doesn't match address inside ticket セッションチケットには、有効なアドレスが含まれている場合があります。Session tickets MAY include the addresses from which they are valid. このエラーは、チケットを送信しているコンピューターのアドレスが、チケットの有効なアドレスと異なる場合に発生する可能性があります。This error can occur if the address of the computer sending the ticket is different from the valid address in the ticket. この原因として考えられるのは、インターネットプロトコル (IP) アドレスの変更です。A possible cause of this could be an Internet Protocol (IP) address change. もう1つの原因として、プロキシサーバーまたは NAT を介してチケットが渡される場合が考えられます。Another possible cause is when a ticket is passed through a proxy server or NAT. クライアントは、プロキシサーバーで使用されるアドレススキームを認識していないため、クライアントがプロキシサーバーのソースアドレスを使ってプロキシサーバーのチケットを要求した場合を除き、チケットは無効な可能性があります。The client is unaware of the address scheme used by the proxy server, so unless the program caused the client to request a proxy server ticket with the proxy server's source address, the ticket could be invalid.
0x270x27 KRB_AP_ERR_BADVERSIONKRB_AP_ERR_BADVERSION プロトコルのバージョン番号が一致しません (PVNO)Protocol version numbers don't match (PVNO) アプリケーションは、KRB_SAFE メッセージを受信すると、それを確認します。When an application receives a KRB_SAFE message, it verifies it. 何らかのエラーが発生した場合は、アプリケーションで使用するエラーコードが報告されます。If any error occurs, an error code is reported for use by the application.
最初に、プロトコルのバージョンと種類のフィールドが現在のバージョンと KRB_SAFE で一致することを確認して、メッセージを確認します。The message is first checked by verifying that the protocol version and type fields match the current version and KRB_SAFE, respectively. 不一致により KRB_AP_ERR_BADVERSION. が生成されるA mismatch generates a KRB_AP_ERR_BADVERSION.
詳細については、「 RFC4120 」を参照してください。See RFC4120 for more details.
0x280x28 KRB_AP_ERR_MSG_TYPEKRB_AP_ERR_MSG_TYPE メッセージの種類がサポートされていませんMessage type is unsupported このメッセージは、ターゲットサーバーでメッセージ形式が間違っていることが検出された場合に生成されます。This message is generated when target server finds that message format is wrong. これは、KRB_AP_REQ、KRB_SAFE、KRB_PRIV、および KRB_CRED メッセージに適用されます。This applies to KRB_AP_REQ, KRB_SAFE, KRB_PRIV and KRB_CRED messages.
このエラーは、UDP プロトコルを使用してユーザー間認証を試みた場合にも生成されます。This error also generated if use of UDP protocol is being attempted with User-to-User authentication.
0x290x29 KRB_AP_ERR_MODIFIEDKRB_AP_ERR_MODIFIED メッセージストリームの変更とチェックサムが一致しませんでしたMessage stream modified and checksum didn't match 認証データは、目的のサーバーの間違ったキーで暗号化されています。The authentication data was encrypted with the wrong key for the intended server.
ハードウェアまたはソフトウェアのエラー、または攻撃者によって、送信中に認証データが変更されました。The authentication data was modified in transit by a hardware or software error, or by an attacker.
誤った DNS データによってクライアントが間違ったサーバーに要求を送信したため、クライアントが間違ったサーバーに認証データを送信しました。The client sent the authentication data to the wrong server because incorrect DNS data caused the client to send the request to the wrong server.
DNS データがクライアントで古いため、クライアントが間違ったサーバーに認証データを送信しました。The client sent the authentication data to the wrong server because DNS data was out-of-date on the client.
0x2A0x2A KRB_AP_ERR_BADORDERKRB_AP_ERR_BADORDER メッセージの順序が不正 (改ざんされる可能性あり)Message out of order (possible tampering) このイベントは、不適切なシーケンス番号が含まれている場合、またはシーケンス番号が予期されているが、存在しない場合に KRB_SAFE と KRB_PRIV メッセージに対して生成されます。This event generates for KRB_SAFE and KRB_PRIV messages if an incorrect sequence number is included, or if a sequence number is expected but not present. 詳細については、「 RFC4120 」を参照してください。See RFC4120 for more details.
0x2C0x2C KRB_AP_ERR_BADKEYVERKRB_AP_ERR_BADKEYVER 指定したキーのバージョンは使用できませんSpecified version of key is not available このエラーは、無効な KRB_AP_REQ メッセージの受信時にサーバー側で生成される可能性があります。This error might be generated on server side during receipt of invalid KRB_AP_REQ message. KRB_AP_REQ のチケットで示されているキーのバージョンがサーバーで使用できない場合 (たとえば、古いキーを示していて、サーバーが古いキーのコピーを所有していない場合)、KRB_AP_ERR_BADKEYVER エラーが返されます。If the key version indicated by the Ticket in the KRB_AP_REQ is not one the server can use (e.g., it indicates an old key, and the server no longer possesses a copy of the old key), the KRB_AP_ERR_BADKEYVER error is returned.
0x2D0x2D KRB_AP_ERR_NOKEYKRB_AP_ERR_NOKEY サービスキーが利用できないService key not available このエラーは、無効な KRB_AP_REQ メッセージの受信時にサーバー側で生成される可能性があります。This error might be generated on server side during receipt of invalid KRB_AP_REQ message. サーバーが複数のレルムに登録されており、それぞれのキーが異なる場合は、KRB_AP_REQ のチケットの暗号化されていない部分の領域フィールドを使って、そのチケットの暗号化を解除するためにサーバーが使用する秘密キーを指定することができます。Because it is possible for the server to be registered in multiple realms, with different keys in each, the realm field in the unencrypted portion of the ticket in the KRB_AP_REQ is used to specify which secret key the server should use to decrypt that ticket. KRB_AP_ERR_NOKEY エラーコードは、サーバーにチケットの解読に適したキーがない場合に返されます。The KRB_AP_ERR_NOKEY error code is returned if the server doesn't have the proper key to decipher the ticket.
0x2E0x2E KRB_AP_ERR_MUT_FAILKRB_AP_ERR_MUT_FAIL 相互認証に失敗しましたMutual authentication failed 情報がありません。No information.
0x2F0x2F KRB_AP_ERR_BADDIRECTIONKRB_AP_ERR_BADDIRECTION メッセージの方向が正しくないIncorrect message direction 情報がありません。No information.
0x300x30 KRB_AP_ERR_METHODKRB_AP_ERR_METHOD 代替認証方法が必要Alternative authentication method required RFC4120により、このエラーメッセージは廃止されています。According RFC4120 this error message is obsolete.
0x310x31 KRB_AP_ERR_BADSEQKRB_AP_ERR_BADSEQ メッセージ内のシーケンス番号が間違っていますIncorrect sequence number in message 情報がありません。No information.
0x320x32 KRB_AP_ERR_INAPP_CKSUMKRB_AP_ERR_INAPP_CKSUM メッセージ内の不適切な種類のチェックサム (チェックサムがサポートされていない可能性があります)Inappropriate type of checksum in message (checksum may be unsupported) KDC が KRB_TGS_REQ メッセージを受信したときに、そのメッセージを解読し、オーセンティケータでユーザーによって入力されたチェックサムを要求の内容に対して検証する必要があります。また、チェックサムが一致しない場合 (エラーコード KRB_AP_ERR\ を含む)、メッセージを拒否する必要があります。更新された場合)、またはチェックサムがコリジョン (エラーコード KRB_AP_ERR_INAPP_CKSUM) ではない場合。When KDC receives KRB_TGS_REQ message it decrypts it, and after the user-supplied checksum in the Authenticator MUST be verified against the contents of the request, and the message MUST be rejected if the checksums do not match (with an error code of KRB_AP_ERR_MODIFIED) or if the checksum is not collision-proof (with an error code of KRB_AP_ERR_INAPP_CKSUM).
0x330x33 KRB_AP_PATH_NOT_ACCEPTEDKRB_AP_PATH_NOT_ACCEPTED 目的のパスに到達できませんDesired path is unreachable 情報がありません。No information.
0x340x34 KRB_ERR_RESPONSE_TOO_BIGKRB_ERR_RESPONSE_TOO_BIG データが多すぎるToo much data チケットのサイズが大きすぎて UDP 経由で確実に送信できません。The size of a ticket is too large to be transmitted reliably via UDP. Windows 環境では、このメッセージは純粋な情報です。In a Windows environment, this message is purely informational. Windows オペレーティングシステムを実行しているコンピューターでは、UDP が失敗した場合に TCP が自動的に実行されます。A computer running a Windows operating system will automatically try TCP if UDP fails.
0x3C0x3C KRB_ERR_GENERICKRB_ERR_GENERIC 一般的なエラーGeneric error グループのメンバーシップが PAC をオーバーロードしました。Group membership has overloaded the PAC.
複数の最近のパスワード変更が反映されませんでした。Multiple recent password changes have not propagated.
メモリが不足しているために、暗号化サブシステムエラーが発生しました。Crypto subsystem error caused by running out of memory.
SPN が長すぎます。SPN too long.
SPN のパーツが多すぎます。SPN has too many parts.
0x3D0x3D KRB_ERR_FIELD_TOOLONGKRB_ERR_FIELD_TOOLONG この実装にはフィールドが長すぎますField is too long for this implementation TCP ストリーム経由で送信された各要求 (KRB_KDC_REQ) と応答 (KRB_KDC_REP または KRB_ERROR) は、要求の長さがネットワークバイト順で4オクテットとなります。Each request (KRB_KDC_REQ) and response (KRB_KDC_REP or KRB_ERROR) sent over the TCP stream is preceded by the length of the request as 4 octets in network byte order. この長さの high ビットは将来の拡張のために予約されており、現在は0に設定されている必要があります。The high bit of the length is reserved for future expansion and MUST currently be set to zero. 指定した長さのエンコードを解釈する方法を理解していない KDC が、length の high order ビットを持つ要求を受信した場合は、エラー KRB_ERR_FIELD_TOOLONG で KRB エラーメッセージを返し、TCP ストリームを閉じる必要があります。If a KDC that does not understand how to interpret a set high bit of the length encoding receives a request with the high order bit of the length set, it MUST return a KRB-ERROR message with the error KRB_ERR_FIELD_TOOLONG and MUST close the TCP stream.
0x3E0x3E KDC_ERR_CLIENT_NOT_TRUSTEDKDC_ERR_CLIENT_NOT_TRUSTED クライアントの信頼が失敗したか、実装されていないThe client trust failed or is not implemented これは通常、ユーザーのスマートカード証明書が失効した場合、または、スマートカード証明書を発行したルート証明機関 (チェーン内) がドメインコントローラーによって信頼されていない場合に発生します。This typically happens when user’s smart-card certificate is revoked or the root Certification Authority that issued the smart card certificate (in a chain) is not trusted by the domain controller.
0x3F0x3F SKYPE の信頼を作成する (_F) セキュリティKDC_ERR_KDC_NOT_TRUSTED KDC サーバーの信頼が失敗したか、確認できなかったThe KDC server trust failed or could not be verified クライアントが KDC の公開キー証明書を持っていない場合、trustedCertifiers フィールドには、クライアントによって信頼されている証明機関の一覧が表示されます。The trustedCertifiers field contains a list of certification authorities trusted by the client, in the case that the client does not possess the KDC's public key certificate. KDC に trustedCertifiers のいずれかによって署名された証明書がない場合は、"kdc¥" 型のエラーが返されます ()If the KDC has no certificate signed by any of the trustedCertifiers, then it returns an error of type KDC_ERR_KDC_NOT_TRUSTED. 詳細については、「 RFC1510 」を参照してください。See RFC1510 for more details.
0x400x40 "いいえ" (署名を)KDC_ERR_INVALID_SIG 署名が無効ですThe signature is invalid このエラーは PKINIT に関連しています。This error is related to PKINIT. PKI 信頼関係が存在する場合、KDC は、AuthPack (TGT 要求署名) のクライアントの署名を確認します。If a PKI trust relationship exists, the KDC then verifies the client's signature on AuthPack (TGT request signature). この問題が発生した場合、KDC は「kdc¥ type ()」というエラーメッセージを返します。If that fails, the KDC returns an error message of type KDC_ERR_INVALID_SIG.
0x410x41 KDC_ERR_KEY_TOO_WEAKKDC_ERR_KEY_TOO_WEAK より高度な暗号化レベルが必要A higher encryption level is needed クライアントが Diffie-hellman キー契約を使用することを指定していることを示す clientPublicValue フィールドが入力されている場合、KDC はパラメーターがそのポリシーを満たしていることを確認します。If the clientPublicValue field is filled in, indicating that the client wishes to use Diffie-Hellman key agreement, then the KDC checks to see that the parameters satisfy its policy. そうしない場合 (たとえば、期待される暗号化の種類に対して素数のサイズが不十分な場合)、KDC は KDC_ERR_KEY_TOO_WEAK. という種類のエラーメッセージを返します。If they do not (e.g., the prime size is insufficient for the expected encryption type), then the KDC sends back an error message of type KDC_ERR_KEY_TOO_WEAK.
0x420x42 KRB_AP_ERR_USER_TO_USER_REQUIREDKRB_AP_ERR_USER_TO_USER_REQUIRED ユーザー間認証が必要User-to-user authorization is required クライアントアプリケーションで、ユーザーとユーザーの認証が必要であることがクライアントアプリケーションによって認識されず、従来の KRB_AP_REP を要求して受信した場合、クライアントは KRB_AP_REP 要求を送信し、サーバーは KRB_ERROR トークンを使用して応答します。RFC1964に記載されている、KRB_AP_ERR_USER_TO_USER_REQUIRED. のメッセージの種類In the case that the client application doesn't know that a service requires user-to-user authentication, and requests and receives a conventional KRB_AP_REP, the client will send the KRB_AP_REP request, and the server will respond with a KRB_ERROR token as described in RFC1964, with a msg-type of KRB_AP_ERR_USER_TO_USER_REQUIRED.
0x430x43 KRB_AP_ERR_NO_TGTKRB_AP_ERR_NO_TGT TGT が表示されていないか、使用できないNo TGT was presented or available ユーザー間認証では、サービスがチケット交付チケットを持っていない場合、エラー KRB_AP_ERR_NO_TGT. を返す必要があります。In user-to-user authentication if the service does not possess a ticket granting ticket, it should return the error KRB_AP_ERR_NO_TGT.
0x440x44 KDC_ERR_WRONG_REALMKDC_ERR_WRONG_REALM ドメインまたはプリンシパルが正しくないIncorrect domain or principal このエラーはめったに発生しませんが、クライアントが、TGT で指定された領域以外の領域に対して、レルム間の TGT を提示したときに発生します。Although this error rarely occurs, it occurs when a client presents a cross-realm TGT to a realm other than the one specified in the TGT. 通常、これは、正しく構成されていない DNS によって生じます。Typically, this results from incorrectly configured DNS.
  • Transited \ [Type = UnicodeString ]: このフィールドには、Kerberos 委任が使用された場合に要求された spn の一覧が表示されます。Transited Services [Type = UnicodeString]: this field contains list of SPNs which were requested if Kerberos delegation was used.

**** 注 サービスプリンシパル名 (SPN) は、クライアントがサービスのインスタンスを一意に識別するための名前です。Note  Service Principal Name (SPN) is the name by which a client uniquely identifies an instance of a service. フォレスト全体のコンピューターにサービスの複数のインスタンスをインストールする場合、各インスタンスに固有の SPN を設定する必要があります。If you install multiple instances of a service on computers throughout a forest, each instance must have its own SPN. クライアントが認証に使用する名前が複数ある場合は、特定のサービスインスタンスに複数の Spn を割り当てることができます。A given service instance can have multiple SPNs if there are multiple names that clients might use for authentication. たとえば、SPN には、サービスインスタンスが実行されているホストコンピューターの名前が含まれているため、サービスインスタンスでは、ホストの各名前またはエイリアスの SPN を登録できます。For example, an SPN always includes the name of the host computer on which the service instance is running, so a service instance might register an SPN for each name or alias of its host.

セキュリティの監視に関する推奨事項Security Monitoring Recommendations

4769の場合: Kerberos サービスのチケットが要求されました。For 4769(S, F): A Kerberos service ticket was requested.

必要な監視の種類Type of monitoring required 推奨事項Recommendation
高価値アカウント: 各操作を監視する必要がある、高い値のドメインまたはローカルアカウントを持っている可能性があります。High-value accounts: You might have high-value domain or local accounts for which you need to monitor each action.
高価値アカウントの例としては、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービスアカウント、ドメインコントローラーアカウントなどがあります。Examples of high-value accounts are database administrators, built-in local administrator account, domain administrators, service accounts, domain controller accounts and so on.
このイベントは、高価値のアカウントまたはアカウントに対応する "アカウント情報 \ アカウント名" を使って監視します。Monitor this event with the “Account Information\Account Name” that corresponds to the high-value account or accounts.
異常または悪質な操作: 異常を検出したり、悪意のある操作を監視したりするための特定の要件がある場合があります。Anomalies or malicious actions: You might have specific requirements for detecting anomalies or monitoring potential malicious actions. たとえば、稼働時間以外のアカウントの使用を監視する必要がある場合があります。For example, you might need to monitor for use of an account outside of working hours. 異常または悪質な操作を監視する場合は、 "アカウント情報 \ アカウント名" (その他の情報を含む) を使って、特定のアカウントがどのように使用されているかを監視します。When you monitor for anomalies or malicious actions, use the “Account Information\Account Name” (with other information) to monitor how or when a particular account is being used.
非アクティブなアカウント: 非アクティブ、無効、またはゲストアカウント、または使わないその他のアカウントがある可能性があります。Non-active accounts: You might have non-active, disabled, or guest accounts, or other accounts that should never be used. このイベントは、使用しないアカウントに対応する "アカウント情報 \ アカウント名" を使って監視します。Monitor this event with the “Account Information\Account Name” that corresponds to the accounts that should never be used.
外部アカウント: 別のドメインからのアカウント、または特定の操作を実行することを許可されていない "外部" アカウント (特定の特定のイベントで表される) を監視している可能性があります。External accounts: You might be monitoring accounts from another domain, or “external” accounts that are not allowed to perform certain actions (represented by certain specific events). 別のドメインまたは "外部" の場所に対応する "account information \ Account ドメイン" のイベントを監視します。Monitor this event for the “Account Information\Account Domain” corresponding to another domain or “external” location.
制限付き使用のコンピューターまたはデバイス: 特定のユーザー (アカウント) が通常操作を実行しない特定のコンピューター、コンピューター、またはデバイスがある場合があります。Restricted-use computers or devices: You might have certain computers, machines, or devices on which certain people (accounts) should not typically perform any actions. 目的の "アカウント情報 \ アカウント名" によって実行される操作を、ターゲットコンピューター (またはその他のターゲットデバイス) で監視します。Monitor the target Computer: (or other target device) for actions performed by the “Account Information\Account Name” that you are concerned about.
アカウントの名前付け規則: 組織によっては、アカウント名の特定の命名規則がある場合があります。Account naming conventions: Your organization might have specific naming conventions for account names. 名前付け規則に準拠していない名前の場合は、"ユーザー ID" を監視します。Monitor “User ID” for names that don’t comply with naming conventions.
  • 特定のコンピューターアカウント**** またはサービスアカウントに対して (つまり、アクセスしない) チケットを要求しないことがわかっている場合は、対応するアカウント名サービス ID4769イベントを監視する必要があります。フィールド.If you know that Account Name should never request any tickets for (that is, never get access to) a particular computer account or service account, monitor for 4769 events with the corresponding Account Name and Service ID fields.

  • クライアントアドレスが内部の ip 範囲外であるか、プライベート ip 範囲からではないすべての4769イベントを追跡できます。You can track all 4769 events where the Client Address is not from your internal IP range or not from private IP ranges.

  • アカウント名が既知の複数の IP アドレスからのチケットを要求できることがわかっている場合は、 4769イベントでこのアカウント名のすべてのクライアントアドレスの値を追跡します。If you know that Account Name should be able to request tickets (should be used) only from a known whitelist of IP addresses, track all Client Address values for this Account Name in 4769 events. クライアントアドレスが、IP アドレスのホワイトリストにない場合は、アラートを生成します。If Client Address is not from your whitelist of IP addresses, generate the alert.

  • すべてのクライアントアドレス=:: 1 はローカル TGS 要求を意味します。つまり、tgs 要求を行う前に、アカウント名がドメインコントローラーにログオンしていることを意味します。All Client Address = ::1 means local TGS requests, which means that the Account Name logged on to a domain controller before making the TGS request. ドメインコントローラーへのログオンが許可されているアカウントのホワイトリストを使用している場合、クライアントアドレス=: 1、およびホワイトリスト以外の任意のアカウント名を使ってイベントを監視します。If you have a whitelist of accounts allowed to log on to domain controllers, monitor events with Client Address = ::1 and any Account Name outside the whitelist.

  • "クライアントポート" フィールドの値>が0と< 1024 のすべての4769イベントは、送信接続に既知のポートが使用されているため、検証する必要があります。All 4769 events with Client Port field value > 0 and < 1024 should be examined, because a well-known port was used for outbound connection.

  • 0x1または0X3チケット暗号化タイプを監視します。これは、DES アルゴリズムが使用されたことを意味します。Monitor for a Ticket Encryption Type of 0x1 or 0x3, which means the DES algorithm was used. セキュリティが低下し、既知の脆弱性があるため、DES は使用されません。DES should not be in use, because of low security and known vulnerabilities. Windows 7 と Windows Server 2008 R2 以降では、既定では無効になっています。It is disabled by default starting from Windows 7 and Windows Server 2008 R2.

  • Windows Vista および Windows Server 2008 以降では、 0x11 と 0x12以外のチケット暗号化タイプを監視します。Starting with Windows Vista and Windows Server 2008, monitor for a Ticket Encryption Type other than 0x11 and 0x12. これらは予期される値であり、これらのオペレーティングシステムから始まり、AES ファミリアルゴリズムを表します。These are the expected values, starting with these operating systems, and represent AES-family algorithms.

  • 重要なエラーコードの一覧がある場合は、次のコードを監視します。If you have a list of important Failure Codes, monitor for these codes.