С момента перехода на Windows 11 у нас есть несколько рабочих станций, которые время от времени пытаются подключиться через смарт-карту, но мы не используем смарт-карты.
Событие происходит с учетной записью компьютера, а не учетной записи пользователя, что тоже интересно.
Идентификатор события: AUDIT_FAILURE (4771)
Домен: [Domain/Server]SID: [sid]
Имя учетной записи: [computer account (not user account)]
Имя службы: krbtgt/[domain]
Адрес клиента: [ip]
Порт: [port]
Параметры билета: 0x40810010
Код ошибки: 0x10
Тип предварительной аутентификации: 16Варианты билетов: 0x40810010 — Forwardable, Renewable, Canonicalize, Renewable-ok
1
пересылаемый
(только ТГТ). Сообщает службе выдачи билетов, что она может выдать новый TGT на основе представленного TGT с другим сетевым адресом на основе представленного TGT.8
Возобновляемый
Используется в сочетании с полями End Time и Renew Till для периодического обновления билетов с длительным сроком действия в KDC.15
Канонизировать имя
Чтобы запросить ссылки, клиент Kerberos ДОЛЖЕН явно запросить параметр KDC «канонизировать» для AS-REQ или TGS-REQ.27
Возобновляемый-хорошо
Опция RENEWABLE-OK указывает, что возобновляемый билет будет приемлем, если билет с запрошенным сроком действия не может быть предоставлен иным образом, и в этом случае возобновляемый билет может быть выдан с renew-till, равным запрошенному времени окончания. Значение поля renew-till по-прежнему может быть ограничено локальными ограничениями или ограничениями, выбранными отдельным принципалом или сервером.Код ошибки: 0x10
KDC_ERR_PADATA_TYPE_NOSUPP
KDC не поддерживает тип PADATA (данные предварительной аутентификации).
Выполняется попытка входа в систему с помощью смарт-карты, и не удается найти нужный сертификат. Эта проблема может возникнуть из-за того, что запрашивается неправильный центр сертификации (ЦС) или невозможно связаться с надлежащим ЦС, чтобы получить сертификаты проверки подлинности контроллера домена или контроллера домена для контроллера домена. Это также может произойти, если на контроллере домена не установлен сертификат для смарт-карт (контроллер домена или шаблоны проверки подлинности контроллера домена).Тип предварительной аутентификации: 16
PA-PK-AS-REQ
Запрос, отправленный в KDC в сценариях проверки подлинности с помощью смарт-карты.
Я хотел бы, чтобы это прекратилось, но у меня возникли трудности с этим. Хотел посмотреть, сталкивался ли кто-нибудь с чем-то подобным и нашел ли решение.