Kerberos authentication ticket (TGT) Bad user name.
Добавлено: 18 мар 2025 08:34
Всем привет, Уважаемые коллеги!
Столкнулся со следующей проблемой, а именно на всех контроллерах домена массово регистрируется Event вида 4768
A Kerberos authentication ticket (TGT) was requested for user@domain.ru from Status : Failure. . Error : Bad user name.
Либо вот так, как приведено на скринах и с расшифровкой события.
Что сделал:
Применил GPO на один из тех доменных ПК, с которого исходит данная ошибка. Настройки политики в скриншоте. Есть предположение, что может запускаться некий процесс, который и инициирует данную ошибку.
Прошло несколько дней, но:
До сих пор пока нет информации о том какое приложение, или процесс регистрирует такое событие. Возможно необходимо поправить настройку аудита GPO.
Начал разбираться далее и вот, что обнаружил:
1. В первом случае, пользователя вообще нет, но есть логи от его почтового ящика. (скрин приложил).
2. Во втором случае, пользователь есть, но он из пула VPN сети + у него не совпадает DNS суффикс. То есть в AD он под суффиксом .ru, а логи аутентификации под суффиксом .com. Хотя естественно дополнительный суффикс прописан в AD. (скрин приложил).
Непонятная ситуация.
Столкнулся со следующей проблемой, а именно на всех контроллерах домена массово регистрируется Event вида 4768
A Kerberos authentication ticket (TGT) was requested for user@domain.ru from Status : Failure. . Error : Bad user name.
Либо вот так, как приведено на скринах и с расшифровкой события.
Что сделал:
Применил GPO на один из тех доменных ПК, с которого исходит данная ошибка. Настройки политики в скриншоте. Есть предположение, что может запускаться некий процесс, который и инициирует данную ошибку.
Прошло несколько дней, но:
До сих пор пока нет информации о том какое приложение, или процесс регистрирует такое событие. Возможно необходимо поправить настройку аудита GPO.
Начал разбираться далее и вот, что обнаружил:
1. В первом случае, пользователя вообще нет, но есть логи от его почтового ящика. (скрин приложил).
2. Во втором случае, пользователь есть, но он из пула VPN сети + у него не совпадает DNS суффикс. То есть в AD он под суффиксом .ru, а логи аутентификации под суффиксом .com. Хотя естественно дополнительный суффикс прописан в AD. (скрин приложил).
Непонятная ситуация.