С момента перехода на Windows 11 у нас есть рабочие станции, которые время от времени пытаются подключиться через смарт-карту, но мы не используем смарт-карты.

С момента перехода на Windows 11 у нас есть несколько рабочих станций, которые время от времени пытаются подключиться через смарт-карту, но мы не используем смарт-карты.

Событие происходит с учетной записью компьютера, а не учетной записи пользователя, что тоже интересно.

Идентификатор события: AUDIT_FAILURE (4771)
Домен: [Domain/Server]

SID: [sid]

Имя учетной записи: [computer account (not user account)]

Имя службы: krbtgt/[domain]

Адрес клиента: [ip]

Порт: [port]

Параметры билета: 0x40810010
Код ошибки: 0x10
Тип предварительной аутентификации: 16

Варианты билетов: 0x40810010 — Forwardable, Renewable, Canonicalize, Renewable-ok

1
пересылаемый
(только ТГТ). Сообщает службе выдачи билетов, что она может выдать новый TGT на основе представленного TGT с другим сетевым адресом на основе представленного TGT.

8
Возобновляемый
Используется в сочетании с полями End Time и Renew Till для периодического обновления билетов с длительным сроком действия в KDC.

15
Канонизировать имя
Чтобы запросить ссылки, клиент Kerberos ДОЛЖЕН явно запросить параметр KDC «канонизировать» для AS-REQ или TGS-REQ.

27
Возобновляемый-хорошо
Опция RENEWABLE-OK указывает, что возобновляемый билет будет приемлем, если билет с запрошенным сроком действия не может быть предоставлен иным образом, и в этом случае возобновляемый билет может быть выдан с renew-till, равным запрошенному времени окончания. Значение поля renew-till по-прежнему может быть ограничено локальными ограничениями или ограничениями, выбранными отдельным принципалом или сервером.

Код ошибки: 0x10
KDC_ERR_PADATA_TYPE_NOSUPP
KDC не поддерживает тип PADATA (данные предварительной аутентификации).
Выполняется попытка входа в систему с помощью смарт-карты, и не удается найти нужный сертификат. Эта проблема может возникнуть из-за того, что запрашивается неправильный центр сертификации (ЦС) или невозможно связаться с надлежащим ЦС, чтобы получить сертификаты проверки подлинности контроллера домена или контроллера домена для контроллера домена. Это также может произойти, если на контроллере домена не установлен сертификат для смарт-карт (контроллер домена или шаблоны проверки подлинности контроллера домена).

Тип предварительной аутентификации: 16
PA-PK-AS-REQ
Запрос, отправленный в KDC в сценариях проверки подлинности с помощью смарт-карты.

Я хотел бы, чтобы это прекратилось, но у меня возникли трудности с этим. Хотел посмотреть, сталкивался ли кто-нибудь с чем-то подобным и нашел ли решение.

0

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *