Home
  •  

PAC-Verifizierungsfehler

PAC_Verification_Failure_5_Rule (Rule)

Knowledge Base article:

Zusammenfassung

Kerberos konnte die Echtheit der Signatur im PAC-Feld (Privilege Attribute Certificate) des Kerberos-Tickets des Schlüsselverteilungscenters (Key Distribution Center, KDC) nicht bestätigen. Dies ist ein Hinweis darauf, dass das PAC-Feld geändert wurde.

Dies ist deshalb von Bedeutung, weil im PAC-Feld die Benutzertoken gespeichert werden. Es besteht die Möglichkeit, dass jemand versucht, in das System einzubrechen.

In seltenen Fällen ist es möglich, dass das Paket bei der Übertragung durch ein Arbeitsspeicherproblem in einem Router beschädigt wurde.

Lösungen

Vergewissern Sie sich, dass das Antwortpaket des TGS (Ticket-Granting Service) vom KDC stammt. Wenn dies nicht der Fall ist, müssen Sie untersuchen, wer in das System einzubrechen versucht.

Wenn das Paket vom KDC abgeschickt wurde, setzen Sie das Computerkontokennwort für den KDC zurück.

Extern

Weitere Informationen finden Sie in folgenden Quellen:

Element properties:

TargetMicrosoft.Windows.Server.2008.AD.DomainControllerRole
CategoryEventCollection
EnabledTrue
Event_ID18
Event SourceMicrosoft-Windows-Kerberos-Key-Distribution-Center
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
PAC-Verifizierungsfehler
{0}
Event LogSystem
CommentMom2005ID='{7EC0084F-6BD7-4346-AAD3-C2BFDB994343}';MOM2005GroupID=

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
CollectEventData WriteAction Microsoft.SystemCenter.CollectEvent Default
CollectEventDataWarehouse WriteAction Microsoft.SystemCenter.DataWarehouse.PublishEventData Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="PAC_Verification_Failure_5_Rule" Comment="Mom2005ID='{7EC0084F-6BD7-4346-AAD3-C2BFDB994343}';MOM2005GroupID=" Enabled="onEssentialMonitoring" Target="AD2008Core!Microsoft.Windows.Server.2008.AD.DomainControllerRole" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>System</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>18</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>Microsoft-Windows-Kerberos-Key-Distribution-Center</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="PAC_Verification_Failure_5_Rule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

    <WriteAction ID="CollectEventData" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="CollectEventDataWarehouse" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>

  </WriteActions>

</Rule>