Home
  •  

Échec de la vérification PAC

PAC_Verification_Failure_5_Rule (Rule)

Knowledge Base article:

Résumé

Kerberos n'a pas pu vérifier la signature dans le champ PAC (Privilege Attribute Certificate) du ticket Kerberos du Centre de distribution de clés (KDC - Key Distribution Center). C'est souvent l'indication d'une modification du champ PAC.

L'événement est important car le champ PAC sert à stocker les jetons de l'utilisateur. Il est possible qu'une personne tente de s'introduire dans votre système.

Il arrive aussi, mais très rarement, qu'un problème de mémoire sur un routeur puisse avoir endommagé le paquet pendant la transmission.

Résolutions

Vérifiez que le paquet de réponse TGS provient du Centre de distribution de clés (KDC). Si ce n'est pas le cas, vous devez déterminer qui tente de s'introduire dans votre système.

Si le paquet provient du Centre de distribution de clés (KDC), réinitialisez le mot de passe du compte d'ordinateur du Centre de distribution de clés.

Externe

Pour plus d'informations, voir :

Element properties:

TargetMicrosoft.Windows.Server.2008.AD.DomainControllerRole
CategoryEventCollection
EnabledTrue
Event_ID18
Event SourceMicrosoft-Windows-Kerberos-Key-Distribution-Center
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Échec de la vérification PAC
{0}
Event LogSystem
CommentMom2005ID='{7EC0084F-6BD7-4346-AAD3-C2BFDB994343}';MOM2005GroupID=

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
CollectEventData WriteAction Microsoft.SystemCenter.CollectEvent Default
CollectEventDataWarehouse WriteAction Microsoft.SystemCenter.DataWarehouse.PublishEventData Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="PAC_Verification_Failure_5_Rule" Comment="Mom2005ID='{7EC0084F-6BD7-4346-AAD3-C2BFDB994343}';MOM2005GroupID=" Enabled="onEssentialMonitoring" Target="AD2008Core!Microsoft.Windows.Server.2008.AD.DomainControllerRole" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>System</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>18</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>Microsoft-Windows-Kerberos-Key-Distribution-Center</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="PAC_Verification_Failure_5_Rule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

    <WriteAction ID="CollectEventData" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="CollectEventDataWarehouse" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>

  </WriteActions>

</Rule>