Kerberos authentication ticket (TGT) Bad user name :: В помощь системному администратору

Коллеги, всем привет!
Имеем следующую проблему с ошибкой 4768, которая массово регистрируется на контроллерах домена.

Код:

Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 3/17/2025 12:39:54 PM
Event ID: 4768
Task Category: Kerberos Authentication Service
Level: Information
Keywords: Audit Success
User: N/A
Computer: rnd-dc01.gl.domnet.ru
Description:
A Kerberos authentication ticket (TGT) was requested.

Account Information:
Account Name: roznall-54
Supplied Realm Name: gl.domnet.ru
User ID: S-1-5-21-790525478-1960408961-725345543-92081

Service Information:
Service Name: krbtgt
Service ID: S-1-5-21-790525478-1960408961-725345543-502

Network Information:
Client Address: ::ffff:10.61.0.101
Client Port: 56953

Additional Information:
Ticket Options: 0x40810010
Result Code: 0x0
Ticket Encryption Type: 0x12
Pre-Authentication Type: 2

Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:

Certificate information is only provided if a certificate was used for pre-authentication.

Pre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4768</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14339</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2025-03-17T09:39:54.270081900Z" />
<EventRecordID>4089159454</EventRecordID>
<Correlation />
<Execution ProcessID="724" ThreadID="11856" />
<Channel>Security</Channel>
<Computer> rnd-dc01.gl.domnet.ru</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">roznall-54</Data>
<Data Name="TargetDomainName">gl.domnet.ru</Data>
<Data Name="TargetSid">S-1-5-21-790525478-1960408961-725345543-92081</Data>
<Data Name="ServiceName">krbtgt</Data>
<Data Name="ServiceSid">S-1-5-21-790525478-1960408961-725345543-502</Data>
<Data Name="TicketOptions">0x40810010</Data>
<Data Name="Status">0x0</Data>
<Data Name="TicketEncryptionType">0x12</Data>
<Data Name="PreAuthType">2</Data>
<Data Name="IpAddress">::ffff:10.61.0.101</Data>
<Data Name="IpPort">56953</Data>
<Data Name="CertIssuerName">
</Data>
<Data Name="CertSerialNumber">
</Data>
<Data Name="CertThumbprint">
</Data>
</EventData>
<RenderingInfo Culture="en-US">
<Message>A Kerberos authentication ticket (TGT) was requested.

Account Information:
Account Name: roznall-54
Supplied Realm Name: gl.domnet.ru
User ID: S-1-5-21-790525478-1960408961-725345543-92081

Service Information:
Service Name: krbtgt
Service ID: S-1-5-21-790525478-1960408961-725345543-502

Network Information:
Client Address: ::ffff:10.61.0.101
Client Port: 56953

Additional Information:
Ticket Options: 0x40810010
Result Code: 0x0
Ticket Encryption Type: 0x12
Pre-Authentication Type: 2

Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:

Certificate information is only provided if a certificate was used for pre-authentication.

Pre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.</Message>
<Level>Information</Level>
<Task>Kerberos Authentication Service</Task>
<Opcode>Info</Opcode>
<Channel>Security</Channel>
<Provider>Microsoft Windows security auditing.</Provider>
<Keywords>
<Keyword>Audit Success</Keyword>
</Keywords>
</RenderingInfo>
</Event>

Что сделали:
Применили GPO на один из тех доменных ПК, с которого исходит данная ошибка. Настройки политики в скриншоте.

До сих пор пока нет информации о том какое приложение, или процесс регистрирует такое событие. Возможно необходимо поправить настройку аудита GPO.

Еще выяснилось, например, что:

1. В первом случае, пользователя вообще нет, но есть логи от его почтового ящика. (скрин приложил).
2. Во втором случае, пользователь есть, но он из пула VPN сети + у него не совпадает DNS суффикс. То есть в AD он под суффиксом .ru, а логи аутентификации под суффиксом .com. Хотя естественно дополнительный суффикс прописан в AD. (скрин приложил).

Непонятная ситуация.

Незнаю как скрины приложить, вомможно было бы больше информации.

Добавлено:
https://imagizer.imageshack.com/img922/6486/iC46Ia.jpg
https://imagizer.imageshack.com/img923/7380/CjyOQ7.jpg
https://imagizer.imageshack.com/img924/9094/xcEAY4.jpg
https://imagizer.imageshack.com/img924/9876/qqs9Fe.jpg
https://imagizer.imageshack.com/img922/4486/va2VuH.jpg
https://imagizer.imageshack.com/img922/4021/JhRPQq.jpg
https://imagizer.imageshack.com/img924/9963/iGa7mV.jpg
https://imagizer.imageshack.com/img922/1257/NNUSry.jpg
https://imagizer.imageshack.com/img923/5706/qeEc3o.jpg
https://imagizer.imageshack.com/img923/1866/0QDIiK.jpg
https://imagizer.imageshack.com/img924/9908/xB3KVp.jpg

Добавлено:
Еще добавлю, так как домен существует уже давно, то до меня были попытки удаление контроллеров и младше, не самым явным способом.
Сейчас все контроллеры 2019 версии.

Однако, есть рекомендация от MS, что это баг и лечится он странным образом:
https://serverfault.com/questions/1105450/kerberos-failures-with-accountname-host

Нарушение п. 2.3. главы VIII Соглашения по использованию

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки