Notes

4776: The domain controller attempted to validate the credentials for an account

On this page

Despite what this event says, the computer is not necessarily a domain controller; member servers and workstations also log this event for logon attempts with local SAM accounts.

When a domain controller successfully authenticates a user via NTLM (instead of Kerberos), the DC logs this event. This specifies which user account who logged on (Account Name) as well as the client computer’s name from which the user initiated the logon in the Workstation field.

For Kerberos authentication see event 4768, 4769 and 4771.

This event is also logged on member servers and workstations when someone attempts to logon with a local account.

Authentication Package: Always „MICROSOFT_AUTHENTICATION_PACKAGE_V1_0“

Logon Account: name of the account

Source Workstation: computer name where logon attempt originated

C0000064 user name does not exist
C000006A user name is correct but the password is wrong
C0000234 user is currently locked out
C0000072 account is currently disabled
C000006F user tried to logon outside his day of week or time of day restrictions
C0000070 workstation restriction
C0000193 account expiration
C0000071 expired password
C0000224 user is required to change password at next logon
C0000225 evidently a bug in Windows and not a risk

source:

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4776

4769: A Kerberos service ticket was requested

On this page

Windows uses this event ID for both successful and failed service ticket requests.  If it is a failure event see Failure Code: below.

Whereas event ID 4768 lets you track initial logons through the granting of TGTs, this lets you monitor the granting of service tickets. Service tickets are obtained whenever a user or computer accesses a server on the network. For example, when a user maps a drive to a file server, the resulting service ticket request generates event ID 4769 on the DC.

Result codes:

Result code Kerberos RFC description Notes on common failure codes
0x1 Client’s entry in database has expired
0x2 Server’s entry in database has expired
0x3 Requested protocol version # not supported
0x4 Client’s key encrypted in old master key
0x5 Server’s key encrypted in old master key
0x6 Client not found in Kerberos database Bad user name, or new computer/user account has not replicated to DC yet
0x7 Server not found in Kerberos database  New computer account has not replicated yet or computer is pre-w2k
0x8 Multiple principal entries in database
0x9 The client or server has a null key  administrator should reset the password on the account
0xA Ticket not eligible for postdating
0xB Requested start time is later than end time
0xC KDC policy rejects request Workstation restriction
0xD KDC cannot accommodate requested option
0xE KDC has no support for encryption type
0xF KDC has no support for checksum type
0x10 KDC has no support for padata type
0x11 KDC has no support for transited type
0x12 Clients credentials have been revoked Account disabled, expired, locked out, logon hours.
0x13 Credentials for server have been revoked
0x14 TGT has been revoked
0x15 Client not yet valid – try again later
0x16 Server not yet valid – try again later
0x17 Password has expired The user’s password has expired.
0x18 Pre-authentication information was invalid Usually means bad password
0x19 Additional pre-authentication required*
0x1F Integrity check on decrypted field failed
0x20 Ticket expired Frequently logged by computer accounts
0x21 Ticket not yet valid
0x21 Ticket not yet valid
0x22 Request is a replay
0x23 The ticket isn’t for us
0x24 Ticket and authenticator don’t match
0x25 Clock skew too great Workstation’s clock too far out of sync with the DC’s
0x26 Incorrect net address  IP address change?
0x27 Protocol version mismatch
0x28 Invalid msg type
0x29 Message stream modified
0x2A Message out of order
0x2C Specified version of key is not available
0x2D Service key not available
0x2E Mutual authentication failed  may be a memory allocation failure
0x2F Incorrect message direction
0x30 Alternative authentication method required*
0x31 Incorrect sequence number in message
0x32 Inappropriate type of checksum in message
0x3C Generic error (description in e-text)
0x3D Field is too long for this implementation

source:

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4769

Pokud z nějakého důvodu odebíráte v bitlockeru zaváděcí pomocný partition, většinou s tím problém nebude. Jednou z výjimek je situace, kdy chcete použít Bitlocker. V takovém případě se pomocný Systémový (skrytý) partition nacpe na konec disku až za partition s označením C:. V takovém připadě je pak rozšíření disky nemožné…

 

Tento problém jsem nakonec vyřešil následovně:

Odinstalace Bitlockeru

Před samotným přesunem tohoto systémového partitionu jsem zvolil disable Bitlockeru. Jakmile byl disk rozširfrovaný (manage-bde –status). Jakmile bude Conversion Status: Full Decrypted, může se provést úprava pomocí live CD Gpedit.

Gparted

-zmenšit partition pro C: (zleva tak, aby se tam vešel několikaset megový partition, ktery chci přesunout).

-nakopírovat malý partition na uvolněné místo

-roztáhnout partiion tak, aby se místo za malým paritionem využilo

-Prozatím nechám původní malý disk za partititionem C:

-Spustím Apply

Po dokončení pak mohu odstranit původní partition, roztažení disku C udělám následně v systému…

Recovery z CD

Systém v tomto stavu není schopný nastartovat, došlo k natolik zásadním změnám, že je nutné provést kroky v recovery režimu. Vložím tedy instalační medium Windows 2012 R2 a nabootuju z instalačního media.

-Vzhledem k tomu, že disk má specifický ovladač, musím načíst ovladač pro disky. To je možné pomocí spuštění obnovy z image, při obnově není nalezen disk pro obnovení a instalační wizard umožní načtení ovladače. Připojím tedy instalační medium s ovladačem pro řadič disku a ovladač načtu.

 

-Jakmile je ovladač načten, mohu zrušit obnovu z media a spustit tools, kde spustím příkazovou řádku.

-spustím diskpart následně provedu:

List disk

Select Disk 0

Select Partition X (kde X je malý nový partition)

Active

Exit

-V této chvili je nutné identifikovat letter použitý pro původní disk c:, to se dá provést např. pomocí příkazu “CD E:” a “dir”. Takto se ověří, jestli je připojen nějaký disk na letter E: a co obsahuje. V mém případě byl původní parttion C:, právě na letteru E:.

-Přepnu se na původní partition C: (v mém případe E:) a spustím v umístění “e:\Windows\system32” příkaz: Bcdboot.exe e:\Windows

-Nyní se přepnu na virtualní disk instalačního média a spustím:

 

 

BootRec.exe /fixmbr

BootRec.exe /fixboot

 

Provedu reboot (objeví se výběr dvou systému, vyberu ten horní)

Oprava v Systému

Nyní je partition změněn, systém nabootoval, ale první partition má letter C: a původní systémový partition má letter D:. To způsobí problémy s nalezením aplkací. Pro to, aby bylo možné opravit tento nežádoucí stav je nutné provést logon jako lokální admin (domain admin z nějakého důvodu nefunguje). Plocha se po nalogování neukáže..

-Spustit pomocí ctrl-alt-del task manager a zde spustit v privilegovaném režimu cmd.exe

-Následně pusti mmc a přida snamin Disk Management, zde se dá z prvního disku odstranit letter C:. Neni ovšem možné změnit letter D: na C:…

 

Pokud nepůjde odsranit ani lable z C:, nic se neděje, pořeší se to v regeditu.

-Spustím regedit a najdu klíč: HKLM\SYSTEM\MountedDevices

-Upravím zde parametry (letters) tak aby odpovídaly tomu, jak si přiřazení disků představuji, musím přitom vytvářet nové klíče a původní mazat. Je důležité vkládat správné identifikátory pro disky!!!

-po rebootu by měl Desktop podl administratorem naběhnout, pokud ne ověřte stav registru a případně přenastavavení V MountedDevices opakuju.

-pustím systém configuration a v Boot odstraním druhou možnost v bootmanazeru

-nyní mohu opět spustit bitlocker a provést šifrování partition c:, zároveň mohu do budoucna rozšiřovat tento partition.

Export uživatelů ve specifickém OU:

ldifde -f c:\out.ldf -s <servername> -d „OU=UsersOU,DC=domain,DC=com“ -p subtree -r „(&(objectCategory=person)(objectClass=User)(givenname=*))“ -l „objectclass,cn,sn,st,title,description,physicaldeliveryofficename,telephonenumber,givenname,distinguishedname,samaccountname“

 

Import uživatelů:

ldifde -i -k -f c:\out.ldf -j c:\users\test\

 

 

Jednou z možností, jak zrychlit powershell je používat inputobject namísto pipování.

Např. tento příkaz funguje, ale pokud je proměnná velká, je pomalý:

$promenna | Out-File -FilePath „c:\neco\test.txt“

pokud si ale vylistujeme co um9 Out-File :

 get-help -name Out-File -Parameter *

Zjistíme, že proměnná se dá dostat do tohoto commandletu pomocí paramteru -InputObject()

-InputObject <psobject>    Required?                    false
    Position?                    Named
    Accept pipeline input?       true (ByValue)
    Parameter set name           (All)
    Aliases                      None
    Dynamic?                     false

Tímto způsobem bude zápis do souboru mnohem rychlejší:

Out-File -FilePath „c:\neco\test.txt“ -InputObject ($promenna)