ID d'événement Windows 4870 – Kerberos : Échec du renouvellement TGT

Commencez par examiner les détails de l'événement pour comprendre la raison spécifique de l'échec et vérifier la connectivité de base du domaine.

1. Ouvrez Observateur d'événements → Journaux Windows → Sécurité
2. Filtrez pour l'ID d'événement 4870 en utilisant cette commande PowerShell :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4870} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Notez le code d'erreur et le nom principal cible à partir de la description de l'événement
4. Testez la connectivité du contrôleur de domaine :

nltest /dsgetdc:yourdomain.com
nltest /sc_query:yourdomain.com

5. Vérifiez la synchronisation de l'heure avec le domaine :

w32tm /query /status
w32tm /resync /rediscover

6. Vérifiez la résolution DNS pour les contrôleurs de domaine :

nslookup -type=SRV _kerberos._tcp.yourdomain.com

Examinez le cache actuel des tickets Kerberos et vérifiez la configuration de renouvellement pour identifier les problèmes spécifiques aux tickets.

1. Affichez les tickets Kerberos actuels :

klist tickets
klist tgt

2. Vérifiez les tickets expirés ou proches de l'expiration et notez les temps de renouvellement
3. Purge des tickets existants pour forcer une authentification fraîche :

klist purge

4. Tentez une acquisition manuelle de ticket :

kinit username@DOMAIN.COM

5. Examinez les paramètres de la politique Kerberos dans la stratégie de groupe :

gpresult /h gpresult.html
# Examinez Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies de compte → Stratégie Kerberos

6. Vérifiez la durée de vie maximale des tickets et les paramètres de renouvellement dans le registre :

Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters" -Name MaxTicketAge -ErrorAction SilentlyContinue

Vérifiez le statut du compte et examinez les événements d'authentification associés pour identifier les problèmes spécifiques au compte.

1. Vérifiez le statut de l'utilisateur ou du compte de service dans Active Directory :

Get-ADUser -Identity "username" -Properties AccountExpirationDate, LockedOut, Enabled, PasswordLastSet, PasswordExpired

2. Pour les comptes de service, vérifiez que le compte n'est pas expiré ou désactivé :

Get-ADServiceAccount -Identity "serviceaccount" -Properties *

3. Examinez les événements d'authentification Kerberos associés :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4768,4769,4771,4772} -MaxEvents 50 | Where-Object {$_.Message -like "*username*"} | Format-Table TimeCreated, Id, Message -Wrap

4. Vérifiez les événements de verrouillage de compte :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4740} -MaxEvents 20

5. Vérifiez les Noms de Principal de Service (SPNs) du compte s'il s'agit d'un compte de service :

setspn -L username

6. Testez l'authentification avec le compte :

runas /user:domain\username cmd

Enquêter sur la disponibilité du contrôleur de domaine et la configuration réseau qui pourraient affecter les opérations de renouvellement des tickets Kerberos.

1. Vérifier la santé du contrôleur de domaine et l'état de la réplication :

dcdiag /v /c /d /e /s:domaincontroller.domain.com
repadmin /showrepl

2. Vérifier que le service Kerberos fonctionne sur les contrôleurs de domaine :

Get-Service -Name Kdc -ComputerName domaincontroller.domain.com

3. Tester la connectivité Kerberos vers des contrôleurs de domaine spécifiques :

telnet domaincontroller.domain.com 88
Test-NetConnection -ComputerName domaincontroller.domain.com -Port 88

4. Vérifier les paramètres du pare-feu Windows pour le trafic Kerberos :

Get-NetFirewallRule -DisplayName "*Kerberos*" | Select-Object DisplayName, Enabled, Direction, Action

5. Examiner les journaux d'événements du contrôleur de domaine pour les erreurs associées :

Get-WinEvent -ComputerName domaincontroller.domain.com -FilterHashtable @{LogName='System'; Id=1,7023,7024} -MaxEvents 20

6. Vérifier le canal sécurisé entre le client et le domaine :

Test-ComputerSecureChannel -Verbose
nltest /sc_verify:domain.com

Activez la journalisation détaillée de Kerberos et effectuez des diagnostics avancés pour identifier les problèmes d'authentification complexes.

1. Activez la journalisation des événements Kerberos sur le client :

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters" /v LogLevel /t REG_DWORD /d 1 /f

2. Activez l'audit détaillé de Kerberos via la stratégie de groupe ou le registre :

auditpol /set /subcategory:"Kerberos Authentication Service" /success:enable /failure:enable
auditpol /set /subcategory:"Kerberos Service Ticket Operations" /success:enable /failure:enable

3. Utilisez Network Monitor ou Wireshark pour capturer le trafic Kerberos :

netsh trace start capture=yes provider=Microsoft-Windows-Kerberos-Key-Distribution-Center tracefile=kerberos.etl

4. Analysez les tickets Kerberos avec des informations détaillées :

klist tickets -li 0x3e7
klist tgt -li 0x3e7

5. Vérifiez les problèmes de décalage d'horloge avec une synchronisation précise :

w32tm /query /peers
w32tm /query /configuration

6. Examinez la configuration avancée de Kerberos dans le registre :

Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters" | Format-List

7. Après le dépannage, désactivez la journalisation détaillée :

reg delete "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters" /v LogLevel /f