Kontoanmeldung 673 - SBS 2003

 

... schraube ggf. die Überwachung bestimmter Ereignisse etwas herunter (z.Bsp. die Anmeldeereignisse) und Du bekommst den Eintrag auch nicht mehr:
   
http://support.microsoft.com/?id=274176


Schlicht gesagt, passierte hier folgendes gemäß obiger Meldung:
Dein Computer (IP 127.0.0.1) forderte ein Kerberos-Diensteticket an. Allerdings hat er weder einen gültigen Benutzernamen noch eine Dienstekennung dafür zur Verfügung gestellt. Das passiert,
wenn irgendein Dienst zunächst versucht, per NULL Session (ohne Benutzername/anonym) eine Sitzung aufzubauen. Die Ausstellung des Tickets wurde daher abgewiesen, weil seit Windows 2000
die Einrichtung von NULL Sessions aus Sicherheitsgründen nicht mehr erlaubt ist (jedenfalls wenn reine "Windows 2000"-kompatible
Berechtigungen konfiguriert sind).
Du kannst auch die Gruppe "Jeder" in die Gruppe "Prä-Windows 2000 kompatibler Zugriff" aufnehmen. Damit erlaubst Du wieder NULL Sessions - ist dann allerdings eine kleine Sicherheitslücke...
Warum manche Dienste noch so programmiert sind, daß sie erst mit NULL Sessions den Sitzungsaufbau versuchen, statt gleich mit Authentifizierung, kann ich nicht beantworten.


Hier unter "Faulure Audit" steht auch noch etwas Information dazu:
 
http://www.eventid.net/display.asp?eventid=673&source=Security

 

673 alle 15 min

See Q824905 for a hotfix applicable to Microsoft Windows 2000 and Microsoft Windows Server 2003.

See the link to "Microsoft event 673 from source Security" for more details on this event.

The most common occurence of this event has the following parameters:
- Ticket options: 0x40830000
- IP address: 127.0.0.1 (the localhost)
- Failure code: 0xD
The Kerberos ticket options refer to various flags that the requestor wants to set for the ticket. See the "Kerberos ticket options" article for the interpretation of various values that this field can take.
Failure code: 0xD (13 in decimal) = KDC cannot accommodate requested option (KDC_ERR_BADOPTION)
Ticket option: 0x40830000, code: 0xD - From a newsgroup post: "This failure seems to indicate that an anonymous connection is being requested and denied.  If you find this tightly coupled with a success then it may be that the client process simply first tries for a null session and then negotiates a secured one."
As per Microsoft, the "anonymous bit flag (bit 14) indicates that the principal is a generic domain account, such as anonymous, for the purpose of distributing a session key.
From a newsgroup post: "Technically speaking, the 673 Failure Audits are due to users & computers with expired TGTs they are trying to renew. Please make sure that the time between the client and the server is synchronized. In addition, this issue may also occur if the client computer does not support S4U. Windows 2003 introduces support for constrained delegation which by leveraging the S4U2Proxy extension to Kerberos. The Kerberos client on a Windows 2003 server will regularly (every 15 minutes by default) check the KDC to see if it supports S4U. If the client doesn't support S4U, a failure security log will be recorded."
S4U = Service-for-User extensions
From a newsgroup post: "Windows 2003 introduces support for constrained delegation by leveraging the S4U2Proxy extension to Kerberos. Windows 2003 DCs will also regularly log an equivalent event 673 (every 15 minutes by default) because the Windows 2003 Kerberos client similarly checks for S4U capability.  S4U capability requires a Windows 2003 Native domain, as well as for the
relevant machine accounts to be configured for constrained delegation.
As I know, there is a hotfix (824905) for Win2k3. To get the hotfix file, please contact the Microsoft Web Support Service."