Marco31 33 Geschrieben 12. März Melden Geschrieben 12. März Hallo liebes Forum, ich habe bei uns die ersten Windows 11 Clients in die Domäne aufgenommen und habe ein Phänomen, das ich mir noch nicht erklären kann. Einer der beiden Windows 11 Clients (24H2) verursacht beim starten die ID 4771 (Fehler bei der Kerberos-Vorauthentifizierung.) am DC. Das Computerkonto, vor dem anmelden eines Benutzers. Ansonsten macht der Client keinerlei Probleme, Benutzeranmeldung funktioniert, Zugriff auf Ressourcen, alles ok. Bis auf den Fehler am DC beim Start des Clients. Ich habe den Client schon aus der Domäne raus genommen und wieder neu aufgenommen, gleiches Verhalten. Ein anderer Client mit Win11 24H2 verursacht diese Fehler nicht. Auch keiner der anderen Windows 10 Clients verursacht den Fehler. Hat jemand eine Idee wo das Problem liegen könnte? Eventuell ein Dienst der zu spät startet? Zitieren
daabm 1.391 Geschrieben 13. März Melden Geschrieben 13. März Du meinst jetzt, daß wir uns alle Felder des 4771 Events bildlich vorstellen können? Und den gesamten Event-Text auch? Ok, dann wäre ich raus - mehr Details, dann können wir reden Zitieren
Marco31 33 Geschrieben 14. März Autor Melden Geschrieben 14. März Und ich hatte auf deine Glaskugel gehofft... Nee, Scherz beiseite, hier die komplette Meldung: Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: 14.03.2025 08:15:24 Ereignis-ID: 4771 Aufgabenkategorie:Kerberos Authentication Service Ebene: Informationen Schlüsselwörter:Überwachung gescheitert Benutzer: Nicht zutreffend Computer: dc1.domain.local Beschreibung: Fehler bei der Kerberos-Vorauthentifizierung. Kontoinformationen: Sicherheits-ID: DOMAIN\COMPUTER$ Kontoname: COMPUTER$ Dienstinformationen: Dienstname: krbtgt/DOMAIN.LOCAL Netzwerkinformationen: Clientadresse: ::ffff:10.169.X.XXX Clientport: 49681 Weitere Informationen: Ticketoptionen: 0x40810010 Fehlercode: 0x10 Typ vor der Authentifizierung: 16 Zertifikatsinformationen: Zertifikatausstellername: Seriennummer des Zertifikats: Zertifikatfingerabdruck: Zertifikatinformationen werden nur bereitgestellt, wenn ein Zertifikat zur Vorauthentifizierung verwendet wurde. Vorauthentifizierungtypen, Ticketoptionen und Fehlercodes sind in RFC 4120 definiert. Wenn das Ticket eine ungültige Form hat oder beim Transport beschädigt wurde und nicht entschlüsselt werden kann, sind viele Fehler dieses Ereignisses möglicherweise nicht vorhanden. Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> <EventID>4771</EventID> <Version>0</Version> <Level>0</Level> <Task>14339</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2025-03-14T07:15:24.114731900Z" /> <EventRecordID>58971062</EventRecordID> <Correlation /> <Execution ProcessID="732" ThreadID="3828" /> <Channel>Security</Channel> <Computer>dc1.domain.local</Computer> <Security /> </System> <EventData> <Data Name="TargetUserName">COMPUTER$</Data> <Data Name="TargetSid">S-1-5-21-2186342489-2151740098-1648647886-11619</Data> <Data Name="ServiceName">krbtgt/DOMAIN.LOCAL</Data> <Data Name="TicketOptions">0x40810010</Data> <Data Name="Status">0x10</Data> <Data Name="PreAuthType">16</Data> <Data Name="IpAddress">::ffff:10.169.X.XXX</Data> <Data Name="IpPort">49681</Data> <Data Name="CertIssuerName"> </Data> <Data Name="CertSerialNumber"> </Data> <Data Name="CertThumbprint"> </Data> </EventData> </Event> Zitieren
testperson 1.768 Geschrieben 14. März Melden Geschrieben 14. März Hi, aus 4771(F) Kerberos pre-authentication failed. - Windows 10 | Microsoft Learn: Failure Code 10: Zitat 0x10 KDC_ERR_PADATA_TYPE_NOSUPP KDC has no support for PADATA type (pre-authentication data) Smart card logon is being attempted and the proper certificate cannot be located. This problem can happen because the wrong certification authority (CA) is being queried or the proper CA cannot be contacted in order to get Domain Controller or Domain Controller Authentication certificates for the domain controller. It can also happen when a domain controller doesn't have a certificate installed for smart cards (Domain Controller or Domain Controller Authentication templates). Pre-Authentication Type 16: Zitat 16 PA-PK-AS-REQ Request sent to KDC in Smart Card authentication scenarios. Sind SmartCards / Zertifikate im Spiel? Gruß Jan Zitieren
Marco31 33 Geschrieben 14. März Autor Melden Geschrieben 14. März Nein, weder noch. Keine Smartcards, keine Zertifikate. Wie gesagt, betrifft auch nur Windows 11, die Windows 10 Clients sind da völlig unauffällig.... Zitieren
cj_berlin 1.412 Geschrieben 14. März Melden Geschrieben 14. März Moin, wie ist der problematische (und gerne auch der unproblematische) Client mit Windows 11 betankt worden? Zitieren
Marco31 33 Geschrieben 14. März Autor Melden Geschrieben 14. März Komplett neu installiert mit Windows 11 ISO... Der Client der die ID 4771 verursacht ist auf 24H2, der unproblematische auf 23H2 Zitieren
Beste Lösung testperson 1.768 Geschrieben 14. März Beste Lösung Melden Geschrieben 14. März Wenn du "Support device authentication using certificate" (GPS: Support device authentication using certificate) deaktivierst, wird wohl Ruhe sein. Im Default / "not configured": Zitat If you do not configure this policy setting, Automatic will be used. Automatic: Device will attempt to authenticate using its certificate. If the DC does not support computer account authentication using certificates then authentication with password will be attempted. Ansonsten auf den Clients und DCs: Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Type: DWORD Name: LogLevel Value: 0x1 Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Type: DWORD Name: KerbDebuglevel Value: 0xffffffff Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc Type: DWORD Name: KdcDebugLevel Value: 0x1 Location: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc Type: DWORD Name: KdcExtraLogLevel Value: 0x1f Dann wirst du vermutlich zum gleichen Zeitpunkt auf den DCs unter System die Event Id 29 / Kerberos-Key-Distribution-Center als Warnung haben sowie Event Id 19 / "Kerberos-Key-Distribution-Center" als Error. Zitat Event Id 29: The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate. Event Id 19: This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate. Auf dem Client wird dann der "Security-Kerberos" Error / Event Id 3 im System Event kommen und den Error Code 0x19 haben, der laut dem obigen Link - in meinen Augen - nur ein Hinweis ist "Additional pre-authentication required". Warum Win 11 24H2 bei mir (in der Testumgebung) sind es ausschließlich Server 2025. Der Win 11 24H2 Testclient ist ruhig. Zitieren
Marco31 33 Geschrieben 14. März Autor Melden Geschrieben 14. März Danke schon mal, werde ich erst nächste Woche testen können. Die GPO setze ich für alle (DCs, Server, Clients)? Zitieren
Marco31 33 Geschrieben 17. März Autor Melden Geschrieben 17. März Sieht bisher gut aus, seit setzen der GPO auf oberster Ebene ist Ruhe Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.