Error de comprobación de PAC

PAC_Verification_Failure_5_Rule (Rule)

Knowledge Base article:

Resumen

Kerberos no pudo comprobar la firma del campo Certificado de atributo de privilegio (PAC) en el vale Kerberos del Centro de distribución de claves (KDC). Esto indica que se ha modificado el campo PAC.

Esto es importante porque el campo PAC sirve para guardar el token del usuario. Puede que alguna persona esté intentando obtener acceso al sistema.

En circunstancias excepcionales, puede que un problema de memoria en un enrutador dañe el paquete durante la transmisión.

Soluciones

Compruebe que el paquete de respuesta del servicio de concesión de vales (TGS) procede del KDC. Si no es así, investigue un posible intento de acceso no autorizado al sistema.

Si el paquete procede del KDC, restablezca la contraseña de la cuenta del equipo para el KDC.

Externo

Para obtener más información, consulte:

Element properties:

Target	Microsoft.Windows.Server.2012.AD.DomainControllerRole
Category	EventCollection
Enabled	True
Event_ID	18
Event Source	Microsoft-Windows-Kerberos-Key-Distribution-Center
Alert Generate	False
Remotable	True
Event Log	System
Comment	Mom2005ID='{7EC0084F-6BD7-4346-AAD3-C2BFDB994343}';MOM2005GroupID=

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
CollectEventData	WriteAction	Microsoft.SystemCenter.CollectEvent	Default
CollectEventDataWarehouse	WriteAction	Microsoft.SystemCenter.DataWarehouse.PublishEventData	Default

Source Code:

<Rule ID="PAC_Verification_Failure_5_Rule" Comment="Mom2005ID='{7EC0084F-6BD7-4346-AAD3-C2BFDB994343}';MOM2005GroupID=" Enabled="true" Target="AD2012Core!Microsoft.Windows.Server.2012.AD.DomainControllerRole" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>System</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>18</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>Microsoft-Windows-Kerberos-Key-Distribution-Center</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="CollectEventData" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="CollectEventDataWarehouse" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>

  </WriteActions>

</Rule>