Home
  •  

Errore di verifica PAC

PAC_Verification_Failure_5_Rule (Rule)

Knowledge Base article:

Riepilogo

Kerberos non è in grado di verificare la firma nel campo Privilege Attribute Certificate (PAC) del ticket Kerberos proveniente dal Centro distribuzione chiavi (KDC). Questo indica che PAC è stato modificato.

Questo è significativo, perché il campo PAC viene usato per archiviare il token dell'utente. È possibile che qualcuno stia tentando di introdursi nel sistema.

In rari casi, può accadere che un problema di memoria su un router abbia danneggiato il pacchetto durante la trasmissione.

Soluzioni

Verificare che il pacchetto di risposta del servizio di concessione ticket (TGS) provenga dal KDC. In caso contrario, è possibile che qualcuno stia tentando di introdursi nel sistema.

Se il pacchetto non proviene dal KDC, ripristinare la password per l'account computer per il KDC.

Riferimenti esterni

Per altre informazioni, vedere:

Element properties:

TargetMicrosoft.Windows.Server.2016.AD.DomainControllerRole
CategoryEventCollection
EnabledTrue
Event_ID18
Event SourceMicrosoft-Windows-Kerberos-Key-Distribution-Center
Alert GenerateFalse
RemotableTrue
Event LogSystem
CommentMom2005ID='{7EC0084F-6BD7-4346-AAD3-C2BFDB994343}';MOM2005GroupID=

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
CollectEventData WriteAction Microsoft.SystemCenter.CollectEvent Default
CollectEventDataWarehouse WriteAction Microsoft.SystemCenter.DataWarehouse.PublishEventData Default

Source Code:

<Rule ID="PAC_Verification_Failure_5_Rule" Comment="Mom2005ID='{7EC0084F-6BD7-4346-AAD3-C2BFDB994343}';MOM2005GroupID=" Enabled="true" Target="AD2016Core!Microsoft.Windows.Server.2016.AD.DomainControllerRole" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>System</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>18</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>Microsoft-Windows-Kerberos-Key-Distribution-Center</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="CollectEventData" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="CollectEventDataWarehouse" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>

  </WriteActions>

</Rule>