Kerberos non è in grado di verificare la firma nel campo Privilege Attribute Certificate (PAC) del ticket Kerberos proveniente dal Centro distribuzione chiavi (KDC). Questo indica che PAC è stato modificato.
Questo è significativo, perché il campo PAC viene usato per archiviare il token dell'utente. È possibile che qualcuno stia tentando di introdursi nel sistema.
In rari casi, può accadere che un problema di memoria su un router abbia danneggiato il pacchetto durante la trasmissione.
Verificare che il pacchetto di risposta del servizio di concessione ticket (TGS) provenga dal KDC. In caso contrario, è possibile che qualcuno stia tentando di introdursi nel sistema.
Se il pacchetto non proviene dal KDC, ripristinare la password per l'account computer per il KDC.
Per altre informazioni, vedere:
Target | Microsoft.Windows.Server.2016.AD.DomainControllerRole |
Category | EventCollection |
Enabled | True |
Event_ID | 18 |
Event Source | Microsoft-Windows-Kerberos-Key-Distribution-Center |
Alert Generate | False |
Remotable | True |
Event Log | System |
Comment | Mom2005ID='{7EC0084F-6BD7-4346-AAD3-C2BFDB994343}';MOM2005GroupID= |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
CollectEventData | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
CollectEventDataWarehouse | WriteAction | Microsoft.SystemCenter.DataWarehouse.PublishEventData | Default |
<Rule ID="PAC_Verification_Failure_5_Rule" Comment="Mom2005ID='{7EC0084F-6BD7-4346-AAD3-C2BFDB994343}';MOM2005GroupID=" Enabled="true" Target="AD2016Core!Microsoft.Windows.Server.2016.AD.DomainControllerRole" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>18</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Microsoft-Windows-Kerberos-Key-Distribution-Center</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="CollectEventData" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="CollectEventDataWarehouse" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>
</WriteActions>
</Rule>