Discussion :

[athomas]

Bonjour,

Depuis quelques temps, de très nombreux échecs apparaissent dans l'audit de sécurité de mes serveurs.
Par exemple, le cas exposé ci-dessous correspond à un contexte que je ne m'explique pas.

Le PC d'adresse IP : 192.168.2.26 est fraichement démarré, Il est loggé avec utilisateur B.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
La pré-authentification Kerberos a échoué.

Informations sur le compte*:
	ID de sécurité*:		(domaine)\A
	Nom du compte*:		A

Informations sur le service*:
	Nom du service*:		krbtgt/(domaine)

Informations sur le réseau*:
	Adresse du client*:		::ffff:192.168.2.26
	Port client*:		51003

Informations supplémentaires*:
	Options du ticket*:		0x40810010
	Code d’échec*:		0x18
	Type de pré-authentification*:	2

Informations sur le certificat*:
	Nom de l’émetteur du certificat*:		
	Numéro de série du certificat*: 	
	Empreinte numérique du certificat*:		

Les informations sur le certificat ne sont fournies que si un certificat a été utilisé pour la pré-authentification.

Les types de pré-authentification, les options de ticket et les codes d’échec sont définis dans la RFC 4120.

Si le ticket, ayant été mal formé ou endommagé en cours du transit, n’a pas pu être déchiffré, il est possible que de nombreux champs de cet événement ne soient pas présents.

Qu'est ce qui peut entraîner une demande authentification depuis ce PC ? Je précise qu'aucun service ne se lance avec une authentification autre que "Systeme local" ou "Service local"

J'ai cherché pendant des heures de l'aide sur cette erreur. Je suis tombé sur de nombreux cas similaires, sans solution.
Le tableau disponible ici : (lien) me dit que l'erreur 0x18 est souvent engendrée par un mauvais password.

Or personne n'est sur ce PC qui se trouve physiquement à côté de moi et qui est loggé sur un autre compte.

Cette entrée dans l'observateur d'évènement apparait toutes les quelques minutes. Elle n'apparait plus si au niveau de l'AD je décoche la case "la pré authentification Kerberos est nécessaire" mais ce n'est pas une solution acceptable puisque cela engendre une diminution du niveau de sécurité de l'authentification.

Avez vous des propositions pour m'aider à résoudre ce défit ? Avis au experts !

[Mothership]

Le disjoindre du domaine et le rejoindre au domaine.

[athomas]

Merci pour la proposition.
Pas de chance, l'opération aura été un échec ... toujours le même message d'erreur.

D'autres propositions ?