Включение ведения журнала событий Kerberos

  • Статья

В этой статье описывается, как включить ведение журнала событий Kerberos.

Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, версия 1809 и более поздних версий, Windows 7 с пакетом обновления 1 (SP1)
Исходный номер базы знаний: 262177

Сводка

Windows 7 с пакетом обновления 1 (SP1), Windows Server 2012 R2 и более поздних версий позволяют отслеживать подробные события Kerberos через журнал событий. Эти сведения можно использовать при устранении неполадок Kerberos.

Важно!

Изменение уровня ведения журнала приведет к тому, что все ошибки Kerberos будут регистрироваться в событии. В протоколе Kerberos ожидаются некоторые ошибки на основе спецификации протокола. В результате включение ведения журнала Kerberos может привести к возникновению событий, содержащих ожидаемые ложноположительные ошибки, даже если операционные ошибки Kerberos отсутствуют.

Примеры ложноположительных ошибок:

  1. KDC_ERR_PREAUTH_REQUIRED возвращается в исходном запросе Kerberos AS. По умолчанию клиент Windows Kerberos не включает сведения о предварительной проверке подлинности в этот первый запрос. Ответ содержит сведения о поддерживаемых типах шифрования в KDC, а в случае AES — о солях, используемых для шифрования хэшей паролей.

    Рекомендация. Всегда игнорируйте этот код ошибки.

  2. KDC_ERR_S_BADOPTION используется клиентом Kerberos для получения билетов с определенными параметрами, например с определенными флагами делегирования. Если запрошенный тип делегирования невозможен, возвращается ошибка. Затем клиент Kerberos попытается получить запрошенные билеты с помощью других флагов, что может завершиться успешно.

    Рекомендация. Если у вас нет проблем с делегированием, игнорируйте эту ошибку.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN могут быть зарегистрированы для широкого спектра проблем с взаимодействием клиента приложения и сервера. Причиной может быть следующее:

    • Отсутствуют или дублируются имена субъектов-служб, зарегистрированные в AD.
    • Неверные имена серверов или DNS-суффиксы, используемые клиентом, например, клиент выполняет поиск записей DNS CNAME и использует результирующая запись A в именах субъектов-служб.
    • Использование имен серверов, не относящихся к полному доменному имени, которые необходимо разрешить через границы леса AD.

    Рекомендация. Изучите использование имен серверов приложениями. Скорее всего, это проблема с конфигурацией клиента или сервера.

  4. KRB_AP_ERR_MODIFIED регистрируется, когда имя субъекта-службы задано в неправильной учетной записи, не совпадая с учетной записью, с помощью которых выполняется сервер. Вторая распространенная проблема заключается в том, что пароль между KDC, выдающим билет, и сервером, на котором размещена служба, не синхронизирован.

    Рекомендация. Как и KDC_ERR_S_PRINCIPAL_UNKNOWN, проверка, правильно ли задано имя субъекта-службы.

Другие сценарии или ошибки требуют внимания системных администраторов или администраторов домена.

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в статье Резервное копирование и восстановление реестра в Windows.

Включение ведения журнала событий Kerberos на определенном компьютере

  1. Откройте редактор реестра.

  2. Добавьте следующее значение реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Значение реестра: LogLevel
    Тип значения: REG_DWORD
    Данные значения: 0x1

    Если подраздел Parameters не существует, создайте его.

    Примечание.

    Удалите это значение реестра, если оно больше не требуется, чтобы производительность компьютера не снизилась. Кроме того, это значение реестра можно удалить, чтобы отключить ведение журнала событий Kerberos на определенном компьютере.

  3. Закройте редактор реестра. Этот параметр вступает в силу сразу же в Windows Server 2012 R2, Windows 7 и более поздних версий.

  4. Любые события, связанные с Kerberos, можно найти в системном журнале.

Дополнительная информация

Ведение журнала событий Kerberos предназначено только для устранения неполадок, если требуется дополнительная информация для клиентской части Kerberos в определенный период времени действия. Если устранение неполадок не выполняется, ведение журнала kerberos должно быть отключено.

С общей точки зрения вы можете получить дополнительные ошибки, которые правильно обрабатываются принимающим клиентом без вмешательства пользователя или администратора. Некоторые ошибки, зафиксированные при ведении журнала Kerberos, не отражают серьезную проблему, которую необходимо решить или даже можно решить.

Например, журнал событий 3 об ошибке Kerberos с кодом ошибки 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN для cifs/<IP-адреса> имени сервера будет регистрироваться при доступе к общей папке к IP-адресу сервера без имени сервера. Если эта ошибка зарегистрирована, клиент Windows автоматически пытается вернуться к проверке подлинности NTLM для учетной записи пользователя. Если эта операция работает, ошибка не будет получена.