Jak włączyć rejestrowanie zdarzeń protokołu Kerberos

  • Artykuł

W tym artykule opisano sposób włączania rejestrowania zdarzeń protokołu Kerberos.

Dotyczy: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, wersja 1809 i nowsze wersje, Windows 7 Service Pack 1
Oryginalny numer KB: 262177

Podsumowanie

Windows 7 Service Pack 1, Windows Server 2012 R2 i nowsze wersje oferują możliwość śledzenia szczegółowych zdarzeń Kerberos za pośrednictwem dziennika zdarzeń. Tych informacji można użyć podczas rozwiązywania problemów z protokołem Kerberos.

Ważna

Zmiana poziomu rejestrowania spowoduje zalogowanie wszystkich błędów protokołu Kerberos w zdarzeniu. W protokole Kerberos niektóre błędy są oczekiwane na podstawie specyfikacji protokołu. W związku z tym włączenie rejestrowania protokołu Kerberos może generować zdarzenia zawierające oczekiwane błędy fałszywie dodatnie nawet wtedy, gdy nie występują błędy operacyjne protokołu Kerberos.

Przykłady błędów fałszywie dodatnich to:

  1. KDC_ERR_PREAUTH_REQUIRED jest zwracany dla początkowego żądania Protokołu Kerberos AS. Domyślnie klient Protokołu Kerberos systemu Windows nie uwzględnia informacji dotyczących uwierzytelniania wstępnego w tym pierwszym żądaniu. Odpowiedź zawiera informacje o obsługiwanych typach szyfrowania w centrum dystrybucji kluczy, a w przypadku usługi AES sole, które mają być używane do szyfrowania skrótów haseł.

    Zalecenie: Zawsze ignoruj ten kod błędu.

  2. KDC_ERR_S_BADOPTION jest używany przez klienta protokołu Kerberos do pobierania biletów z określonymi opcjami ustawionymi, na przykład z określonymi flagami delegowania. Gdy żądany typ delegowania nie jest możliwy, jest to zwracany błąd. Klient protokołu Kerberos spróbuje następnie pobrać żądane bilety przy użyciu innych flag, co może zakończyć się powodzeniem.

    Zalecenie: Jeśli nie występują problemy z delegowaniem, zignoruj ten błąd.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN mogą być rejestrowane w przypadku wielu różnych problemów z klientem aplikacji i łącznikiem serwera. Przyczyną mogą być:

    • Brakujące lub zduplikowane nazwy SPN zarejestrowane w usłudze AD.
    • Nieprawidłowe nazwy serwerów lub sufiksy DNS używane przez klienta, na przykład klient goni rekordy CNAME DNS i używa wynikowego rekordu A w sieciACH SPN.
    • Używanie nazw serwerów innych niż FQDN, które należy rozpoznać w granicach lasu usługi AD.

    Zalecenie: Zbadaj użycie nazw serwerów przez aplikacje. Najprawdopodobniej jest to problem z konfiguracją klienta lub serwera.

  4. KRB_AP_ERR_MODIFIED jest rejestrowana, gdy nazwa SPN jest ustawiona na nieprawidłowym koncie, nie dopasowując konta, na które jest uruchomiony serwer. Drugim typowym problemem jest to, że hasło między centrum dystrybucji kluczy wystawiającym bilet a serwerem hostującym usługę jest niezsynchronizowane.

    Zalecenie: Podobnie jak w przypadku KDC_ERR_S_PRINCIPAL_UNKNOWN sprawdź, czy nazwa SPN jest poprawnie ustawiona.

Inne scenariusze lub błędy wymagają uwagi administratorów systemu lub domeny.

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows.

Włączanie rejestrowania zdarzeń Kerberos na określonym komputerze

  1. Uruchom Edytor rejestru.

  2. Dodaj następującą wartość rejestru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Wartość rejestru: LogLevel
    Typ wartości: REG_DWORD
    Dane wartości: 0x1

    Jeśli podklucz Parametry nie istnieje, utwórz go.

    Uwaga

    Usuń tę wartość rejestru, gdy nie jest już potrzebna, aby wydajność na komputerze nie uległa pogorszeniu. Ponadto można usunąć tę wartość rejestru, aby wyłączyć rejestrowanie zdarzeń Kerberos na określonym komputerze.

  3. Zamknij Edytor rejestru. Ustawienie zacznie obowiązywać natychmiast w Windows Server 2012 R2, Windows 7 i nowszych wersjach.

  4. Wszelkie zdarzenia związane z protokołem Kerberos można znaleźć w dzienniku systemu.

Więcej informacji

Rejestrowanie zdarzeń Protokołu Kerberos jest przeznaczone tylko do celów rozwiązywania problemów, gdy oczekujesz dodatkowych informacji po stronie klienta Protokołu Kerberos w zdefiniowanym przedziale czasu akcji. W przypadku braku aktywnego rozwiązywania problemów rejestrowanie protokołu kerberos powinno zostać wyłączone.

Z ogólnego punktu widzenia mogą wystąpić dodatkowe błędy, które są prawidłowo obsługiwane przez odbierającego klienta bez interwencji użytkownika lub administratora. Niektóre błędy przechwycone przez rejestrowanie protokołu Kerberos nie odzwierciedlają poważnego problemu, który należy rozwiązać lub nawet go rozwiązać.

Na przykład dziennik zdarzeń 3 dotyczący błędu protokołu Kerberos, który zawiera kod błędu 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN dla cifs/<adresu> IP nazwy serwera, zostanie zarejestrowany po uzyskaniu dostępu do udziału względem adresu IP serwera i bez nazwy serwera. Jeśli ten błąd jest rejestrowany, klient systemu Windows automatycznie próbuje powrócić po awarii do uwierzytelniania NTLM dla konta użytkownika. Jeśli ta operacja zadziała, nie zostanie wyświetlony żaden błąd.