SharePoint OnPrem 审核日志中的多个事件 ID 4769 错误

• 适用于:

  SharePoint Server

症状

在以下情况下，在 SharePoint OnPrem 事件日志中可以看到事件 ID 4769 多次重复：

• Microsoft SharePoint 2016 Server 在本地 Active Directory域中处于活动状态。
• 配置 Search Service 应用程序。
• 根据最低特权管理最佳做法，将环境配置为具有单独的帐户。
• 根据 SharePoint 的 Kerberos 最佳做法配置环境。
• 在域控制的服务器上启用 Kerberos 审核，并将“审核 Kerberos 服务票证操作”设置为审核失败和成功。

在此方案中，域控制器上的应用程序事件日志容器 (DC) 中充斥着“审核失败”事件，这些事件以每秒多次列出事件 ID 4769，如以下屏幕截图所示。

搜索服务帐户被提及为“服务名称”，服务器场帐户被提及为调用方帐户名称。

原因

这些事件主要 (生成，但不完全) SharePoint 中的以下计时器操作：

• 应用程序服务器管理服务计时器作业
• 应用程序服务器计时器作业

这些操作将与搜索和 SSO 服务相关的服务器场范围的设置同步到场中的每个服务器。

这些事件是由请求 DC Kerberos 票证授予服务 (TGS) 从 SharePoint 计时器服务进程请求 (OWSTimer.exe) （在 SharePoint 搜索服务的服务器场帐户下运行）。

但是，SharePoint 搜索服务不会将服务器主体名称 (SPN) 用于任何其他目的。 由于未设置 SPN，因此请求失败，并在 DC 上生成误报审核失败事件 ID 4769。

因此，这些多个事件列表可能会妨碍有意义地监视其他帐户的相关审核失败。

解决方案

若要解决此问题，可以将不存在或“假”SPN 分配给 SharePoint 搜索服务帐户。 为此，请使用 SETSPN -S 命令。

例如： SETSPN -S FAKEPROTOCOL/FAKESERVICENAME CONTOSO\SPSVC

此命令可防止 Kerberos 审核事件日志填满误报审核失败消息。 该命令不会对 SharePoint 功能产生负面影响，也不会造成安全风险。

此操作将立即生效。 无需执行其他管理操作。。

更多信息

在需要非功能性 SPN 的情况下，建议设置不存在的 SPN 是一种常见的安全做法。

有关此内容的详细信息，请参阅使用 Office Online Server 和 Analysis Services 部署 KCD 的示例。

仍然需要帮助？ 请转到 Microsoft 社区。