Windows-Server-2008

如何在 2008 伺服器上啟用 Kerberos 身份驗證服務審核

  • March 7, 2015

我有一個執行 5 個 2008(非 R2)DC 的 2008 級 Windows 域(計劃在未來 9-12 個月內遷移到 R2 或 2012 年,但這個項目需要先執行),我需要在安全事件日誌中為集成 AD 的 Web 過濾系統啟用 Kerberos 身份驗證服務事件。

顯然,“Kerberos 身份驗證服務”審核設置是 2008 R2 的新設置,並且不存在於 2008 GPO 界面中。

這篇 TechNet 文章似乎表明我應該能夠從 2008 R2 成員伺服器啟用“預設域控制器策略”上的設置,並且它將適用於 2008 伺服器:

如果配置了此策略設置,則會生成以下事件。這些事件出現在執行 Windows Server 2008 R2、Windows Server 2008、Windows 7 或 Windows Vista 的電腦上。

事件 ID 事件消息

4768 請求了 Kerberos 身份驗證票證 (TGT)。

4771 Kerberos 預認證失敗。

4772 Kerberos 身份驗證票證請求失敗。

但是,我已經嘗試過了,我的 5 個 DC 中有 4 個應用了該設置,但其中一個沒有在安全日誌中記錄審計事件。

有沒有更好的方法在 2008(非 R2)伺服器上執行此操作?在這個古怪的 DC 上是否有任何明顯的可能啟用(或禁用)導致它不接受 R2 設置?還有其他要檢查的想法嗎?

我在違規 DC 的事件日誌中沒有看到任何異常。感謝您提供任何想法或幫助。在此先感謝您提供的任何幫助。

***編輯:***這是我的上一個問題的連結,我在其中詢問如何在 Server 2008 上啟用此設置。那個問題已經過時,所以我在這裡詢問它的下一個邏輯擴展。

我仍然無法解決為什麼沒有在 5 個 DC 中的 1 個上進行這些策略更改的故障排除,但我能夠通過在其上執行以下auditpol命令來解決此問題:

auditpol /set /category:"account logon" /subcategory:"kerberos Authentication Service" /success:enable

刷新GP並重新啟動DC後,設置仍然卡住,所以我猜它沒有被任何地方覆蓋,所以我稱之為好。

感謝所有閱讀本文的人,也許它會幫助遇到類似情況的其他人。

引用自:https://serverfault.com/questions/509347