Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
Ошибка вылезает постоянно. Event id 677 21.03.03 16:42 Число просмотров: 1353
Автор: babay <Andrey Babkin> Статус: Elderman
|
> Ок, будем тут.
> Кто-нибудь чего-нить скажет?
>
> Я нашел, что код 20 - это значит "TGT has been revoked"
> Отменен был билет? Это как? Из-за чего? Найти не могу..
Это тайм - стамп у системы которой выдан билет не совпадает с контроллером домена на котором служба цербера (изменили время на ней, а тайм стамп - как механизм защиты ключей билета от). Или билет отозван для обновления в связи с истечением срока действия, установленного политиками безопасности.
|
|
<sysadmin>
|
Ошибка вылезает постоянно. Event id 677 20.03.03 18:08
Автор: Vah Статус: Незарегистрированный пользователь
Отредактировано 20.03.03 18:08 Количество правок: 1
|
В аудит-логе постоянно появляются такие вообщения.
При этом появляются, например, в 3, 4 часа ночи. Когда никого нет. Смотрел на журнал приложений - никакие приложения не запускаются вроде в это время.
В базе Microsoft есть указание только на системы с Exchange 5, которого у нас нет. Да и сервис там другой указан в этом случае.
-------------------
NT AUTHORITY\SYSTEM
Service Ticket Request Failed:
User Name:
User Domain:
Service Name: krbtgt/ххххххх.RU
Ticket Options: 0x2
Failure Code: 0x20
Client Address: 127.0.0.1
-------------------
Или вот такое.
-------------------
NT AUTHORITY\SYSTEM
Service Ticket Request Failed:
User Name: Administrator
User Domain: хххххххх.RU
Service Name: krbtgt/ххххххх.RU
Ticket Options: 0x2
Failure Code: 0x20
Client Address: 10.1.1.20
-------------------
|
|
Ошибка вылезает постоянно. Event id 677 20.03.03 19:13
Автор: babay <Andrey Babkin> Статус: Elderman
|
> В базе Microsoft есть указание только на системы с Exchange
> 5, которого у нас нет. Да и сервис там другой указан в этом
> случае.
> -------------------
> NT AUTHORITY\SYSTEM
>
> Service Ticket Request Failed:
> User Name:
> User Domain:
> Service Name: krbtgt/ххххххх.RU
> Ticket Options: 0x2
> Failure Code: 0x20
> Client Address: 127.0.0.1
> -------------------
> NT AUTHORITY\SYSTEM
>
> Service Ticket Request Failed:
> User Name: Administrator
> User Domain: хххххххх.RU
> Service Name: krbtgt/ххххххх.RU
> Ticket Options: 0x2
> Failure Code: 0x20
> Client Address: 10.1.1.20
> -------------------
Вот что я думаю, у тебя админ получил от контроллера домена билет tgt (ticket grant ticket дающий право получения билета для доступа) , но он залогинен на самом контроллере и служба kerberos не может выдать админу билет доступа к службе к самой себе. По идее если сделать логофф и подождать смены билетов - это пройдет. А вот во втором случае по моему контроллер сам на себе хочет авторизоваться.
Во я закрутил :-))
Я читал както об этом, дословно сейчас и не вспомню что там, но в общем вроде так как я сказал.
А почему ночью - так наверно у тебя в это время по установкам должна проходить смена билетов.
Если я ошибаюсь - поправте, плз..
Почитай материал в линках, и посмотри если интересно всю серию статей, там вроде перекрестные ссылки есть.
З.Ы.а зачем писать User Domain: хххххххх.RU, если у тебя Client Address: 10.x.x.x - он же не маршрутизируется в нэте ? ;-))
посмотри тут
и тут
|
| |
Ошибка вылезает постоянно. Event id 677 21.03.03 11:05
Автор: Vah Статус: Незарегистрированный пользователь
|
> Вот что я думаю, у тебя админ получил от контроллера
> домена билет tgt (ticket grant ticket дающий право
> получения билета для доступа) , но он залогинен на самом
> контроллере и служба kerberos не может выдать админу билет
> доступа к службе к самой себе. По идее если сделать логофф
> и подождать смены билетов - это пройдет. А вот во втором
> случае по моему контроллер сам на себе хочет
> авторизоваться.
> Во я закрутил :-))
> Я читал както об этом, дословно сейчас и не вспомню что
> там, но в общем вроде так как я сказал.
> А почему ночью - так наверно у тебя в это время по
> установкам должна проходить смена билетов.
> Если я ошибаюсь - поправте, плз..
>
> Почитай материал в линках, и посмотри если интересно всю
> серию статей, там вроде перекрестные ссылки есть.
>
> З.Ы.а зачем писать User Domain:
> хххххххх.RU, если у тебя Client Address:
> 10.x.x.x - он же не маршрутизируется в нэте ? ;-))
Вот в чем проблема - это в том, что админ там не залогинен. :)
Может, работает какая-то прога, пускаемая под эккаунтом админа? Хотя нет такой вроде бы..
А как побороть желание залогиниться на самом себе? :)
ЗЫ. Я пытаюсь секьюриться :))
ЗЗЫ. Можешь мыло скинуть? Или мне на a_vah@mailru.com напиши, пожалуйста.
|
| | |
Ошибка вылезает постоянно. Event id 677 21.03.03 11:41
Автор: babay <Andrey Babkin> Статус: Elderman
|
> Вот в чем проблема - это в том, что админ там не залогинен.
> :)
Точно не залогинен или тачка просто залочена ?
> Может, работает какая-то прога, пускаемая под эккаунтом
> админа? Хотя нет такой вроде бы..
> А как побороть желание залогиниться на самом себе? :)
Я не уверен что это на 100% что это правда ( на счет логина), чтоб разобратся мне надо малость вспомнить, давно я с этой штукой возился...
> ЗЫ. Я пытаюсь секьюриться :))
Кстати, на счет секьюрится - лучьше здесь это обсуждать, общественность обязательно подскажет интересные варианты, на форуме есть знающие люди :-)). Это я к тому, что по мылу очень однобоко будет, а тут - целый мозговой штурм и халявная консультация, если проблемой людей заинтересуешь.
> ЗЗЫ. Можешь мыло скинуть?
apbabkin@mail.ru
|
| | | |
Ошибка вылезает постоянно. Event id 677 21.03.03 13:00
Автор: Vah Статус: Незарегистрированный пользователь
|
> > Вот в чем проблема - это в том, что админ там не
> залогинен.
> > :)
> Точно не залогинен или тачка просто залочена ?
100%. мы logoff делаем всегда.
> > Может, работает какая-то прога, пускаемая под
> эккаунтом админа? Хотя нет такой вроде бы..
> > А как побороть желание залогиниться на самом себе? :)
> Я не уверен что это на 100% что это правда ( на счет
> логина), чтоб разобратся мне надо малость вспомнить, давно
> я с этой штукой возился...
Буду очень рад, если ты попробуешь это сделать. :))
> > ЗЫ. Я пытаюсь секьюриться :))
> Кстати, на счет секьюрится - лучьше здесь это обсуждать,
> общественность обязательно подскажет интересные варианты,
> на форуме есть знающие люди :-)). Это я к тому, что по мылу
> очень однобоко будет, а тут - целый мозговой штурм и
> халявная консультация, если проблемой людей заинтересуешь.
Ок, будем тут.
Кто-нибудь чего-нить скажет?
Я нашел, что код 20 - это значит "TGT has been revoked"
Отменен был билет? Это как? Из-за чего? Найти не могу..
|
| | | | |
Ошибка вылезает постоянно. Event id 677 21.03.03 16:42
Автор: babay <Andrey Babkin> Статус: Elderman
|
> Ок, будем тут.
> Кто-нибудь чего-нить скажет?
>
> Я нашел, что код 20 - это значит "TGT has been revoked"
> Отменен был билет? Это как? Из-за чего? Найти не могу..
Это тайм - стамп у системы которой выдан билет не совпадает с контроллером домена на котором служба цербера (изменили время на ней, а тайм стамп - как механизм защиты ключей билета от). Или билет отозван для обновления в связи с истечением срока действия, установленного политиками безопасности.
|
| | | | | |
Ошибка вылезает постоянно. Event id 677 22.03.03 17:10
Автор: Vah Статус: Незарегистрированный пользователь
|
> > Я нашел, что код 20 - это значит "TGT has been revoked"
> > Отменен был билет? Это как? Из-за чего? Найти не могу..
>
> Это тайм - стамп у системы которой выдан билет не совпадает
> с контроллером домена на котором служба цербера (изменили
> время на ней, а тайм стамп - как механизм защиты ключей
> билета от). Или билет отозван для обновления в связи с
> истечением срока действия, установленного политиками
> безопасности.
Код 0х20 в десятеричной системе - 32. :) Это значит "The ticket has expired". Вопрос снят. Всем спасибо. :))
|
|
|
подробно о проекте
Анализ криптографических сетевых...
