Windows event id 4 kerberos
The following forum(s) have migrated to Microsoft Q&A: All English Windows Server forums!
Visit Microsoft Q&A to post new questions.
Answered by:
Question
I’ve been finding this event in logs on computers in my domain recently. I’ve seen it on a variety of servers and workstations, so I think it’s probably affecting all domain members. The specific domain controller mentioned in the text of the event varies, it could be any one of our domain controllers. I’m not sure when it started. I’ve been trying to search for a solution, but so far I’m not finding anything that quite fits.
How can I track down the cause of this issue?
Answers
I wanted to try to do a little more work based on the ADFS misconfiguration angle today. When I set up the ADFS server, I set up a new Managed Service Account during the Server 2012 R2 ADFS Role wizard and called it ADFS , yielding account name ADFS$ . I found a property in the service account called dNSHostName . And it was set to domain.com . Documentation on this setting is sparse, but it looks like it should be a unique name, like ADFS-admin.domain.com , so here’s what I did to try to resolve this:
— Ran setspn -D cifs/domain.com dc1 (where dc1 is my domain controller) and repeated for other domain controllers dc2 , dc3 , etc. in my environment. I don’t know if, and actually doubt. this had any effect. I then successfully ran repadmin /syncall (I have more than one site, so this did not replicate to all DCs immmediately.)
— Changed dNSHostName property to a unique value like ADFS-admin.domain.com
— Ran repadmin /syncall and rebooted all domain controllers in sequence
— Ran klist purge and rebooted on a couple of test workstations known to have the problem
So far in testing, workstations look like they have cleared the Kerberos error 4, and so far have not seen any of the cifs/domain.com service tickets in klist tickets , but this issue has been a little intermittent and the symptoms a bit sporadic. I will observe for a couple of days and report back if this appears to have solved the problem.
All replies
Thanks for your post.
For the issue, it may be caused by the duplicate SPN. Please refer to the below links for troubleshooting duplicate SPN:
Kerberos Authentication problems – Service Principal Name (SPN) issues — Part 2
Similar thread has been discussed:
Kerberos Event ID 4 (KRB_AP_ERR_Modified)
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com
Any update about the issue?
Please feel free to let us know if you need further assistance.
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com
Thank you for the reply. I was out of the office from the 24th until today for the christmas holiday, and have only just had a chance to review your links.
The first link, to joeware.net, appears to be related to duplicate SPNs, as you suggested, and specifically refers to KB321044. I reviewed the KB and find that it primarily refers to event 11 from KDC appearing on one or more domain controllers. It does also list an event 4 similar to those I’m seeing. I went through the event logs on each DC looking for any instances of the Event 11, and found none. I also tried following the steps in the joware.net blog post to search for potential duplicates, but to be completely honest I had a bit of trouble following the blog so I’m not certain that I did everything correctly.
The second link also seems to be related to the same issue of duplicate SPNs, and the same event ID 11. While I wouldn’t rule out a possible duplicate SPN issue, without the Event 11’s on the domain controllers, it doesn’t seem like the article would be the right track for my issue.
The 3rd Link, to the forum post, is one that I had read through prior to posting here. The OP’s error looks similar to the one I’m getting, except that the «target name used» in his was cifs/server1.domain.local and in my case it is simply cifs/domain.com — no host name, just the domain. It also sounds like his error is always related to that single server, but in my case the error can be coming from different DC’s each time, it’s not limited to just one. Lastly, I’ve not experienced any issues browsing network shares from one DC to another in either direction, nor seen the «Logon Failure: target account name is incorrect» error that the OP and solution both reference.
So far, nothing in those posts quite seems to match the situation I have here.
Thanks for your response. And sorry the links did not help.
I am trying to involve someone familiar with this topic to further look at this issue. There might be some time delay. Appreciate your patience.
Thank you for your understanding and support.
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com
Before we go any further, I’d like to explain the Kerberos error below to you.
The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server $.The target name used was / . This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain is different from the client domain, check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.
The event error posted above will appear on the Kerberos client, not the target server, or the KDC. The field $ is the name of the server that was contacted by the local client and is not the SPN or target server name the client used to request a ticket. This event will occur if you present a service ticket to a target server which cannot be decrypted by the target server. The service ticket is encrypted using the shared secret of the machine account’s password as a seed for the resulting encryption used on the service ticket. This ensures that only the KDCs (DCs) and the target principle can decrypt the ticket. The client presents encrypted ticket it received from the KDC to the target server. If the server can decrypt the ticket, the server then knows that it was encrypted by a trusted source (the DC) and the presenter (the client) is also trusted. If shared secret (machine account password) used to encrypt the ticket is different between the KDC and the target machine, the ticket cannot be decrypted and the failure occurs. Additionally, here are two scenarios.
If a client attempts to connect to target server but the IP address for target server is resolved to another server, then this event are most likely caused by one of the following reasons.
1. DNS resolution issue.
2. The SPN of the server1 is registered incorrectly.
If the IP address of the target server is resolved correctly, then this event are most likely caused by the one of the following reasons.
1. Time synchronization issue. If the time difference between the client and the target server is over 5 minutes, then the Kerberos authentication will fail.
2. Secure channel break. The computer password of the target server is not updated on the KDCs.
3. Etype.
In this case, it is possible that the SPN of target server is registered incorrectly. Based on my experience, the CIFS service mostly used for SMB access and the SPN of target server should be the CIFS/DOMAINCONTROLLER.domain.com. You can try to remove the SPN cifs/DOMAIN.COM from DOMAINCONTROLLER’s computer object and add the new one. To do this, you can run the command as below:
setspn -D cifs/DOMAIN.COM DOMAINCONTROLLER
setspn -A CIFS/DOMAINCONTROLLER.domain.com DOMAINCONTROLLER
setspn -A CIFS/DOMAINCONTROLLER DOMAINCONTROLLER
After that, please check if it works. Thank you
Windows event id 4 kerberos
Hallo HaschkeD,
Siehe bitte die Lösungen in den folgenden Artikel auch: [1] Event ID 4 — Kerberos Client Configuration
Resolve: Delete an unused computer account by using Active Directory Users and Computers
Note: The computer account is identified in the event log message.
To perform this procedure, you must be a member of the Domain Admins group, or you must have been delegated the appropriate authority.
To delete a computer account by using Active Directory Users and Computers:
- Log on to a domain controller or another computer that has the Remote Server Adminstration Tools installed.
- Click Start, point to Administrative Tools, and then click Active Directory Users and Computers.
- Locate the computer account in Active Directory Domain Services (AD DS).
- Right-click the computer account, and then click Delete.
“Make sure that the workstations are pointing to local DNS server IP as preferred DNS in NIC, you need to disjoin the workstation from domain, delete computer account from ADUC and rejoin problem workstation again to domain.”
- Klicken Sie auf Start und auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
- Geben Sie die folgenden Befehle ein. Drücken Sie nach jedem Befehl die [EINGABETASTE]:
- Sc query HTTPFilter
- Sc query KDC
- Sc query Netlogon
- Sc query NTLMssp
- Sc query PolicyAgent
- Sc query ProtectedStorage
- Sc query SamSs
- Sc query Eventlog
- Sc query PlugPlay
Gruss,
Alex
Alex Pitulice , MICROSOFT 
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.
10 критически важных event ID для мониторинга Windows
По данным статьи Рэнди Франклина Смита (CISA, SSCP, Security MVP). В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита.
Event ID — (Категория) — Описание
1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.
2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.
3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.
4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.
5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.
6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя
7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа
8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности
Вход и выход из системы (Logon/Logoff)
Event Id — Описание
528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)
Типы входов в систему (Logon Types)
Тип входа в систему — Описание
2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)
Коды отказов Kerberos
Код ошибки — Причина
6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена
Коды ошибок NTLM
Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание
3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему