Delen via

Meerdere gebeurtenis-id 4769-fouten in sharePoint OnPrem-auditlogboek

  • Van toepassing op: SharePoint Server

Symptomen

Gebeurtenis-id 4769 wordt meerdere keren herhaald in het Gebeurtenislogboek van SharePoint OnPrem onder de volgende voorwaarden:

  • Microsoft SharePoint 2016 Server is actief in een on-premises Active Directory domein.
  • U configureert een zoekservicetoepassing.
  • U configureert de omgeving om afzonderlijke accounts te hebben volgens best practices voor beheer met minimale bevoegdheden.
  • De omgeving is geconfigureerd volgens de best practices van Kerberos voor SharePoint.
  • Kerberos-controle is ingeschakeld op de door het domein beheerde servers en de 'Audit Kerberos Service Ticket Operations' is ingesteld op het controleren van fouten en succes.

In dit scenario wordt de container voor het toepassingsgebeurtenislogboek op domeincontrollers (DC's) overspoeld met 'Audit failure'-gebeurtenissen die gebeurtenis-id 4769 vele keren per seconde vermelden, zoals wordt weergegeven in de volgende schermopname.

Schermopname van de containerpagina van het toepassingsgebeurtenislogboek met gebeurtenis-id 4769 Controlefout vaak.

Het zoekserviceaccount wordt vermeld als de 'Servicenaam' en het farmaccount wordt vermeld als de naam van het aanroepende account.

Oorzaak

Deze gebeurtenissen worden voornamelijk (maar niet uitsluitend) gegenereerd op de volgende timerbewerkingen in SharePoint:

  • Timeropdracht voor beheerservice voor toepassingsserver
  • Timeropdracht toepassingsserver

Met deze bewerkingen worden farmbrede instellingen gesynchroniseerd die betrekking hebben op de zoek- en eenmalige aanmeldingsservices naar elke server in de farm.

De gebeurtenissen worden veroorzaakt door aanvragen aan de DC Kerberos Ticket Granting Service (TGS) van het SharePoint Timer Service-proces (OWSTimer.exe) dat wordt uitgevoerd onder het farmaccount voor de SharePoint Search-service.

De SharePoint Search-service gebruikt echter geen SpN (Server Principal Name) voor andere doeleinden. En omdat er geen SPN is ingesteld, mislukt de aanvraag en genereert de fout-positieve auditfout gebeurtenis-id 4769 op de DC.

Daarom kunnen deze vermeldingen met meerdere gebeurtenissen de mogelijkheid belemmeren om relevante auditfouten voor andere accounts zinvol te controleren.

Oplossing

U kunt dit probleem oplossen door een niet-bestaande of 'nep'-SPN toe te wijzen aan het SharePoint Search Service-account. Gebruik hiervoor de opdracht SETSPN -S .

Bijvoorbeeld: SETSPN -S FAKEPROTOCOL/FAKESERVICENAME CONTOSO\SPSVC

Met deze opdracht voorkomt u dat het kerberos-auditgebeurtenislogboek vol staat met fout-positieve auditfoutberichten. De opdracht heeft geen nadelige invloed op de SharePoint-functionaliteit en creƫert geen beveiligingsrisico's.

Deze actie wordt onmiddellijk van kracht. Er is geen andere beheeractie vereist.

Meer informatie

Het instellen van een niet-bestaande SPN is een algemene, veilige procedure die wordt aanbevolen in scenario's waarin een niet-functionele SPN nodig is.

Zie Voorbeeldimplementatie van KCD met Office Online Server en Analysis Services voor meer informatie hierover.

Meer hulp nodig? Ga naar Microsoft Community.