Kerberos authentication ticket (TGT) Bad user name.

cobion · Сообщение **cobion** » 18 мар 2025 08:34

Всем привет, Уважаемые коллеги!
Столкнулся со следующей проблемой, а именно на всех контроллерах домена массово регистрируется Event вида 4768
A Kerberos authentication ticket (TGT) was requested for user@domain.ru from Status : Failure. . Error : Bad user name.
Либо вот так, как приведено на скринах и с расшифровкой события.
Что сделал:
Применил GPO на один из тех доменных ПК, с которого исходит данная ошибка. Настройки политики в скриншоте. Есть предположение, что может запускаться некий процесс, который и инициирует данную ошибку.
Прошло несколько дней, но:
До сих пор пока нет информации о том какое приложение, или процесс регистрирует такое событие. Возможно необходимо поправить настройку аудита GPO.

Начал разбираться далее и вот, что обнаружил:
1. В первом случае, пользователя вообще нет, но есть логи от его почтового ящика. (скрин приложил).
2. Во втором случае, пользователь есть, но он из пула VPN сети + у него не совпадает DNS суффикс. То есть в AD он под суффиксом .ru, а логи аутентификации под суффиксом .com. Хотя естественно дополнительный суффикс прописан в AD. (скрин приложил).

Непонятная ситуация.

cobion · Сообщение **cobion** » 18 мар 2025 09:05

И самое интересное, что таких отбойников по количеству, просто зашкаливает.
Причем потом все логи переходят в раздел Logon Fail и там админская учетка побеждает по количеству отбоя ошибок аутентификации.

cobion · Сообщение **cobion** » 18 мар 2025 11:10

Еще добавлю, так как домен существует уже давно, то до меня были попытки удаление контроллеров и младше, не самым явным способом.
Сейчас все контроллеры 2019 версии.

Еще наткнулся вот на такую статью:
https://serverfault.com/questions/11054 ... tname-host
У нас как раз таки фортигэйти с радиусами, может где то проблема в сетевой связности?