OnPrem 中的多个事件 ID 4769 SharePoint错误审核日志

症状

在 OnPrem 事件日志中,在下列SharePoint事件 ID 4769 重复多次:

  • Microsoft SharePoint 2016 Server 在本地 Active Directory 域中处于活动状态。
  • 配置 Search Service 应用程序。
  • 根据最小特权管理最佳做法,将环境配置为具有单独的帐户。
  • 环境根据 Kerberos 最佳实践进行配置,SharePoint。
  • Kerberos 审核在域控制的服务器上启用,并且"审核 Kerberos 服务票证操作"设置为审核失败和成功。

在此方案中,域控制器 () 上的应用程序事件日志容器被"审核失败"事件淹没,这些事件每秒列出事件 ID 4769 多次,如以下屏幕截图所示。

多次列出事件 ID 4769 审核失败的应用程序事件日志容器页面屏幕截图。

搜索服务帐户被提及为"服务名称",服务器场帐户被提及为呼叫者帐户名称。

原因

这些事件主要在 (,但不是) 以下计时器操作生成SharePoint:

  • Application Server Administration Service 计时器作业
  • 应用程序服务器计时器作业

这些操作将与搜索和 SSO 服务相关的服务器场范围的设置同步到服务器场中的每台服务器。

这些事件由来自 SharePoint 定时服务进程 OWSTimer.exeOWSTimer.exe) 的 DC Kerberos 票证授予服务 (TGS) 的请求引起,该进程在 SharePoint 搜索服务的服务器场帐户下运行。

但是,SharePoint搜索服务不会将服务器主体名称 (SPN) 用于任何其他目的。 由于未设置 SPN,因此请求将失败,并生成 DC 上的误报审核失败事件 ID 4769。

因此,这些多个事件列表可能会妨碍有效监视其他帐户的相关审核失败的能力。

解决方案

若要解决此问题,您可以将不存在或"假的"SPN 分配给 SharePoint Search Service 帐户。 为此,请使用 SETSPN -S 命令。

例如 :SETSPN -S FAKEPROTOCOL/FAKESERVICENAME CONTOSO\SPSVC

此命令防止 Kerberos 审核事件日志填充误报审核失败消息。 该命令不会对功能SharePoint带来安全风险。

此操作会立即生效。 无需执行其他管理操作。

更多信息

在需要无法正常工作的 SPN 的情况下,设置不存在的 SPN 是一种常见的安全做法。

有关此情况详细信息,请参阅使用 Office Online Server和 Analysis Services 部署示例

仍然需要帮助? 请转到 Microsoft 社区