Поделиться через

Несколько ошибок события с идентификатором 4769 в журнале аудита SharePoint OnPrem

  • Применяется к: SharePoint Server

Симптомы

Событие с идентификатором 4769 повторяется несколько раз в журнале событий SharePoint OnPrem при следующих условиях:

  • Microsoft SharePoint 2016 Server активен в домене локальная служба Active Directory.
  • Вы настраиваете приложение службы поиска.
  • Вы настраиваете среду на создание отдельных учетных записей в соответствии с рекомендациями по администрированию с наименьшими привилегиями.
  • Среда настраивается в соответствии с рекомендациями Kerberos для SharePoint.
  • Аудит Kerberos включен на серверах, управляемых доменом, и параметр Audit Kerberos Service Ticket Operations (Аудит операций с билетами службы Kerberos) настроен на сбои аудита и успешное выполнение.

В этом сценарии контейнер журнала событий приложения на контроллерах домена (DCs) заполняется событиями "Сбой аудита", которые перечисляют событие с идентификатором 4769 много раз в секунду, как показано на следующем снимке экрана.

Снимок экрана: страница контейнера журнала событий приложения, в которой много раз перечислены сбои аудита с идентификатором 4769.

Учетная запись службы поиска упоминается как "Имя службы", а учетная запись фермы — как имя учетной записи вызывающего пользователя.

Причина

Эти события создаются в основном (но не исключительно) из следующих операций таймера в SharePoint:

  • Задание таймера службы администрирования сервера приложений
  • Задание таймера сервера приложений

Эти операции синхронизируют параметры на уровне фермы, связанные со службами поиска и единого входа, с каждым сервером в ферме.

События вызваны запросами к службе предоставления билетов Kerberos контроллера домена (TGS) из процесса службы таймера SharePoint (OWSTimer.exe), который выполняется в учетной записи фермы для службы поиска SharePoint.

Однако служба поиска SharePoint не использует имя субъекта-сервера (SPN) для каких-либо других целей. Так как имя субъекта-службы не задано, запрос завершается сбоем и создает ложноположительный сбой аудита с идентификатором 4769 на контроллере домена.

Таким образом, эти многочисленные списки событий могут препятствовать возможности значимого мониторинга соответствующих ошибок аудита для других учетных записей.

Разрешение

Чтобы устранить эту проблему, можно назначить несуществующее или "поддельное" имя субъекта-службы учетной записи службы поиска SharePoint. Для этого используйте команду SETSPN -S .

Например: SETSPN -S FAKEPROTOCOL/FAKESERVICENAME CONTOSO\SPSVC

Эта команда предотвращает заполнение журнала событий аудита Kerberos ложноположительными сообщениями о сбоях аудита. Команда не оказывает негативного влияния на функциональность SharePoint и не создает угрозы безопасности.

Это действие вступает в силу немедленно. Никаких других административных действий не требуется.

Дополнительная информация

Установка несуществующего имени субъекта-службы — это обычная и безопасная практика, рекомендуемая в сценариях, где требуется нефункциональное имя субъекта-службы.

Дополнительные сведения об этом см. в разделе Пример развертывания KCD с помощью Office Online Server и служб Analysis Services.

Требуется дополнительная помощь? Зайдите на сайт сообщества Майкрософт.