Aktivieren der Kerberos-Ereignisprotokollierung

  • Artikel

In diesem Artikel wird beschrieben, wie Sie die Kerberos-Ereignisprotokollierung aktivieren.

Gilt für: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, Version 1809 und höher, Windows 7 Service Pack 1
Ursprüngliche KB-Nummer: 262177

Zusammenfassung

Windows 7 Service Pack 1, Windows Server 2012 R2 und höhere Versionen bieten die Möglichkeit, detaillierte Kerberos-Ereignisse über das Ereignisprotokoll nachzuverfolgen. Sie können diese Informationen bei der Problembehandlung für Kerberos verwenden.

Wichtig

Die Änderung des Protokolliergrads führt dazu, dass alle Kerberos-Fehler in einem Ereignis protokolliert werden. Im Kerberos-Protokoll werden einige Fehler basierend auf der Protokollspezifikation erwartet. Daher kann das Aktivieren der Kerberos-Protokollierung Ereignisse generieren, die erwartete falsch positive Fehler enthalten, auch wenn keine Kerberos-Betriebsfehler vorliegen.

Beispiele für falsch positive Fehler sind:

  1. KDC_ERR_PREAUTH_REQUIRED wird bei der ersten Kerberos AS-Anforderung zurückgegeben. Standardmäßig schließt der Windows Kerberos-Client keine Vorauthentifizierungsinformationen in diese erste Anforderung ein. Die Antwort enthält Informationen zu den unterstützten Verschlüsselungstypen auf dem KDC und im Fall von AES die Salts, mit denen die Kennworthashes verschlüsselt werden sollen.

    Empfehlung: Ignorieren Sie diesen Fehlercode immer.

  2. KDC_ERR_S_BADOPTION wird vom Kerberos-Client verwendet, um Tickets mit bestimmten Optionen abzurufen, z. B. mit bestimmten Delegierungsflags. Wenn der angeforderte Delegierungstyp nicht möglich ist, wird dieser Fehler zurückgegeben. Der Kerberos-Client versucht dann, die angeforderten Tickets mithilfe anderer Flags abzurufen, was möglicherweise erfolgreich ist.

    Empfehlung: Ignorieren Sie diesen Fehler, es sei denn, Sie haben Probleme beim Beheben eines Delegierungsproblems.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN können für eine Vielzahl von Problemen mit der Client- und Serververbindung der Anwendung protokolliert werden. Die Ursache kann sein:

    • Fehlende oder doppelte SPNs, die in AD registriert sind.
    • Falsche Servernamen oder DNS-Suffixe, die vom Client verwendet werden, z. B. verfolgt der Client DNS-CNAME-Einträge und verwendet den resultierenden A-Eintrag in SPNs.
    • Verwenden von Nicht-FQDN-Servernamen, die über AD-Gesamtstrukturgrenzen hinweg aufgelöst werden müssen.

    Empfehlung: Untersuchen Sie die Verwendung von Servernamen durch die Anwendungen. Es handelt sich höchstwahrscheinlich um ein Client- oder Serverkonfigurationsproblem.

  4. KRB_AP_ERR_MODIFIED wird protokolliert, wenn ein SPN für ein falsches Konto festgelegt ist und nicht mit dem Konto übereinstimmt, mit dem der Server ausgeführt wird. Das zweite häufige Problem besteht darin, dass das Kennwort zwischen dem KDC, der das Ticket ausstellt, und dem Server, auf dem der Dienst gehostet wird, nicht synchron ist.

    Empfehlung: Überprüfen Sie ähnlich wie KDC_ERR_S_PRINCIPAL_UNKNOWN, ob der SPN ordnungsgemäß festgelegt ist.

Andere Szenarien oder Fehler erfordern die Aufmerksamkeit der System- oder Domänenadministratoren.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Aktivieren der Kerberos-Ereignisprotokollierung auf einem bestimmten Computer

  1. Starten Sie den Registrierungs-Editor.

  2. Fügen Sie den folgenden Registrierungswert hinzu:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Registrierungswert: LogLevel
    Werttyp: REG_DWORD
    Wertdaten: 0x1

    Wenn der Unterschlüssel Parameter nicht vorhanden ist, erstellen Sie ihn.

    Hinweis

    Entfernen Sie diesen Registrierungswert, wenn er nicht mehr benötigt wird, damit die Leistung auf dem Computer nicht beeinträchtigt wird. Außerdem können Sie diesen Registrierungswert entfernen, um die Kerberos-Ereignisprotokollierung auf einem bestimmten Computer zu deaktivieren.

  3. Schließen Sie den Registrierungs-Editor. Die Einstellung wird ab Windows Server 2012 R2, Windows 7 und höheren Versionen sofort wirksam.

  4. Sie finden alle Kerberos-bezogenen Ereignisse im Systemprotokoll.

Weitere Informationen

Die Kerberos-Ereignisprotokollierung dient nur zur Problembehandlung, wenn Sie zu einem definierten Aktionszeitrahmen zusätzliche Informationen für die Kerberos-Clientseite erwarten. Die Kerberos-Protokollierung sollte deaktiviert werden, wenn keine aktive Problembehandlung durchgeführt wird.

Aus allgemeiner Sicht erhalten Sie möglicherweise zusätzliche Fehler, die vom empfangenden Client ohne Benutzer- oder Administratoreingriff ordnungsgemäß behandelt werden. Einige von der Kerberos-Protokollierung erfasste Fehler spiegeln kein schwerwiegendes Problem wider, das gelöst werden muss oder sogar gelöst werden kann.

Beispielsweise wird ein Ereignisprotokoll 3 zu einem Kerberos-Fehler mit dem Fehlercode 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN für Servername cifs/<IP-Adresse> protokolliert, wenn ein Freigabezugriff auf eine Server-IP-Adresse und keinen Servernamen erfolgt. Wenn dieser Fehler protokolliert wird, versucht der Windows-Client automatisch, ein Failback zur NTLM-Authentifizierung für das Benutzerkonto durchzuführen. Wenn dieser Vorgang funktioniert, erhalten Sie keinen Fehler.