Freigeben über

Mehrere Fehler der Ereignis-ID 4769 im SharePoint OnPrem-Überwachungsprotokoll

  • Gilt für:: SharePoint Server

Symptome

Die Ereignis-ID 4769 wird im SharePoint OnPrem-Ereignisprotokoll unter den folgenden Bedingungen mehrmals wiederholt:

  • Microsoft SharePoint 2016 Server ist in einer lokales Active Directory Domäne aktiv.
  • Sie konfigurieren eine Suchdienstanwendung.
  • Sie konfigurieren die Umgebung mit separaten Konten gemäß den bewährten Methoden für die Verwaltung mit den geringsten Rechten.
  • Die Umgebung wird gemäß den bewährten Kerberos-Methoden für SharePoint konfiguriert.
  • Die Kerberos-Überwachung ist auf den domänengesteuerten Servern aktiviert, und "Kerberos-Dienstticketvorgänge überwachen" ist so festgelegt, dass Fehler und Erfolg überwacht werden.

In diesem Szenario wird der Anwendungsereignisprotokollcontainer auf Domänencontrollern (DCs) mit "Audit failure"-Ereignissen überflutet, die die Ereignis-ID 4769 mehrmals pro Sekunde auflisten, wie im folgenden Screenshot gezeigt.

Screenshot der Containerseite des Anwendungsereignisprotokolls mit der mehrfachen Ereignis-ID 4769 Überwachungsfehler.

Das Suchdienstkonto wird als "Dienstname" und das Farmkonto als Name des Aufruferkontos erwähnt.

Ursache

Diese Ereignisse werden hauptsächlich (aber nicht ausschließlich) aus den folgenden Timervorgängen in SharePoint generiert:

  • Zeitgeberauftrag für den Anwendungsserververwaltungsdienst
  • Zeitgeberauftrag des Anwendungsservers

Diese Vorgänge synchronisieren farmweite Einstellungen, die sich auf die Such- und SSO-Dienste beziehen, auf jeden Server in der Farm.

Die Ereignisse werden durch Anforderungen an den DC Kerberos Ticket Granting Service (TGS) vom SharePoint Timer Service-Prozess (OWSTimer.exe) verursacht, der unter dem Farmkonto für den SharePoint-Suchdienst ausgeführt wird.

Der SharePoint-Suchdienst verwendet jedoch keinen Serverprinzipalnamen (SPN) für andere Zwecke. Und da kein SPN festgelegt ist, schlägt die Anforderung fehl und generiert die falsch positive Überwachungsfehlerereignis-ID 4769 auf dem DC.

Aus diesem Grund können diese mehrfachen Ereignisauflistungen die Möglichkeit beeinträchtigen, relevante Überwachungsfehler für andere Konten sinnvoll zu überwachen.

Lösung

Um dieses Problem zu beheben, können Sie dem SharePoint-Suchdienstkonto einen nicht vorhandenen oder "gefälschten" SPN zuweisen. Verwenden Sie hierzu den Befehl SETSPN -S .

Beispiel: SETSPN -S FAKEPROTOCOL/FAKESERVICENAME CONTOSO\SPSVC

Dieser Befehl verhindert, dass das Kerberos-Überwachungsereignisprotokoll mit falsch positiven Überwachungsfehlermeldungen gefüllt wird. Der Befehl wirkt sich nicht negativ auf die SharePoint-Funktionalität aus oder führt zu Sicherheitsrisiken.

Diese Aktion wird sofort wirksam. Es ist keine andere administrative Aktion erforderlich.

Weitere Informationen

Das Festlegen eines nicht vorhandenen SPN ist eine gängige, sichere Methode, die in Szenarien empfohlen wird, in denen ein nicht funktionaler SPN erforderlich ist.

Weitere Informationen hierzu finden Sie unter Beispielbereitstellung von KCD mit Office Online Server und Analysis Services.

Benötigen Sie weitere Hilfe? Navigieren Sie zu Microsoft Community.