Sdílet prostřednictvím

Několik chyb id události 4769 v protokolu auditu služby SharePoint onPrem

  • Platí pro: SharePoint Server

Příznaky

Událost s ID 4769 se v protokolu událostí místního serveru SharePoint několikrát opakuje za následujících podmínek:

  • Microsoft SharePoint 2016 Server je aktivní ve místní Active Directory doméně.
  • Nakonfigurujete aplikaci Vyhledávací služby.
  • Nakonfigurujete prostředí tak, aby měly samostatné účty podle osvědčených postupů pro správu s nejnižšími oprávněními.
  • Prostředí je nakonfigurované podle osvědčených postupů protokolu Kerberos pro SharePoint.
  • Na serverech řízených doménou je povolené auditování protokolu Kerberos a auditování operací lístku služby Kerberos je nastavené na selhání auditu a úspěch.

V tomto scénáři je kontejner protokolu událostí aplikace na řadičích domény zahlcený událostmi selhání auditu, které uvádějí ID události 4769 mnohokrát za sekundu, jak je znázorněno na následujícím snímku obrazovky.

Snímek obrazovky se stránkou kontejneru protokolu událostí aplikace s id události 4769 – Selhání auditování mnohokrát

Účet Vyhledávací služby se zmíní jako "Název služby" a účet farmy se zmíní jako název účtu volajícího.

Příčina

Tyto události se generují primárně (ale ne výhradně) z následujících operací časovače v SharePointu:

  • Úloha časovače služby správy aplikačního serveru
  • Úloha časovače aplikačního serveru

Tyto operace synchronizují nastavení pro celou farmu, která souvisejí se službami Search a SSO, s každým serverem ve farmě.

Události jsou způsobené požadavky na službu TGS (DC Kerberos Ticket Grant Service) z procesu služby Časovač Služby SharePoint (OWSTimer.exe), který běží pod účtem farmy pro vyhledávací službu SharePointu.

Vyhledávací služba služby SharePoint však hlavní název serveru (SPN) nepoužívá pro žádný jiný účel. A protože není nastavený žádný hlavní název služby (SPN), požadavek selže a vygeneruje falešně pozitivní selhání auditu s ID události 4769 na řadiči domény.

Proto tyto výpisy více událostí můžou bránit možnosti smysluplného monitorování relevantních selhání auditu u jiných účtů.

Řešení

Pokud chcete tento problém vyřešit, můžete k účtu vyhledávací služby SharePointu přiřadit neexistující nebo "falešný" hlavní název služby (SPN). Chcete-li to provést, použijte příkaz SETSPN -S .

Příklad: SETSPN -S FAKEPROTOCOL/FAKESERVICENAME CONTOSO\SPSVC

Tento příkaz zabrání zaplnění protokolu událostí auditu protokolu Kerberos falešně pozitivními zprávami o selhání auditu. Příkaz nemá nepříznivý vliv na funkčnost SharePointu ani nevytvuje bezpečnostní rizika.

Tato akce se projeví okamžitě. Není nutná žádná jiná akce správy.

Další informace

Nastavení neexistující hlavního názvu služby (SPN) je běžný a bezpečný postup doporučený ve scénářích, kdy je potřeba nefunkční hlavní název služby (SPN).

Další informace najdete v tématu Příklad nasazení KCD s Office Online Server a Analysis Services.

Stále potřebujete pomoc? Přejděte na web Microsoft Community.