Habilitación del registro de eventos de Kerberos

En este artículo se describe cómo habilitar el registro de eventos kerberos.

Se aplica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, versión 1809 y versiones posteriores, Windows 7 Service Pack 1
Número de KB original: 262177

Resumen

Windows 7 Service Pack 1, Windows Server 2012 R2 y versiones posteriores ofrecen la funcionalidad de realizar un seguimiento detallado de eventos kerberos a través del registro de eventos. Puede usar esta información al solucionar problemas de Kerberos.

Importante

El cambio en el nivel de registro hará que todos los errores de Kerberos se registren en un evento. En el protocolo Kerberos, se esperan algunos errores en función de la especificación del protocolo. Como resultado, habilitar el registro de Kerberos puede generar eventos que contengan errores falsos positivos esperados incluso cuando no haya errores operativos kerberos.

Algunos ejemplos de errores falsos positivos son:

  1. KDC_ERR_PREAUTH_REQUIRED se devuelve en la solicitud as inicial de Kerberos. De forma predeterminada, el cliente Kerberos de Windows no incluye información de autenticación previa en esta primera solicitud. La respuesta contiene información sobre los tipos de cifrado admitidos en el KDC y, en el caso de AES, las sales con las que se van a usar para cifrar los hashes de contraseña.

    Recomendación: omita siempre este código de error.

  2. el cliente Kerberos usa KDC_ERR_S_BADOPTION para recuperar vales con opciones específicas establecidas, por ejemplo, con determinadas marcas de delegación. Cuando no es posible el tipo de delegación solicitado, este es el error que se devuelve. A continuación, el cliente Kerberos intentaría obtener los vales solicitados mediante otras marcas, lo que puede ser correcto.

    Recomendación: a menos que tenga problemas para solucionar un problema de delegación, omita este error.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN se pueden registrar para una amplia variedad de problemas con el cliente de la aplicación y el enlace del servidor. La causa puede ser:

    • SpNs ausentes o duplicados registrados en AD.
    • Nombres de servidor o sufijos DNS incorrectos utilizados por el cliente, por ejemplo, el cliente está persiguiendo registros CNAME de DNS y usa el registro A resultante en SPN.
    • Usar nombres de servidor que no sean FQDN que deben resolverse a través de los límites del bosque de AD.

    Recomendación: Investigue el uso de nombres de servidor por parte de las aplicaciones. Lo más probable es que se trate de un problema de configuración de cliente o servidor.

  4. KRB_AP_ERR_MODIFIED se registra cuando se establece un SPN en una cuenta incorrecta, no coincide con la cuenta con la que se ejecuta el servidor. El segundo problema común es que la contraseña entre el KDC que emite el vale y el servidor que hospeda el servicio no está sincronizada.

    Recomendación: de forma similar a KDC_ERR_S_PRINCIPAL_UNKNOWN, compruebe si el SPN está establecido correctamente.

Otros escenarios o errores requieren la atención de los administradores del sistema o del dominio.

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información, consulte Copia de seguridad y restauración del Registro en Windows.

Habilitación del registro de eventos kerberos en un equipo específico

  1. Inicie el Editor del Registro.

  2. Añada el siguiente valor de registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Valor del Registro: LogLevel
    Tipo de valor: REG_DWORD
    Datos de valor: 0x1

    Si la subclave Parámetros no existe, créela.

    Nota:

    Quite este valor del Registro cuando ya no sea necesario para que el rendimiento no se degrade en el equipo. Además, puede quitar este valor del Registro para deshabilitar el registro de eventos kerberos en un equipo específico.

  3. Salga del editor del Registro. La configuración entrará en vigor inmediatamente en Windows Server 2012 R2, Windows 7 y versiones posteriores.

  4. Puede encontrar cualquier evento relacionado con Kerberos en el registro del sistema.

Más información

El registro de eventos kerberos solo está pensado para solucionar problemas cuando se espera información adicional para el lado cliente de Kerberos en un período de tiempo de acción definido. Restated, el registro kerberos debe deshabilitarse cuando no se soluciona activamente la solución de problemas.

Desde un punto de vista general, puede recibir errores adicionales que el cliente receptor controla correctamente sin la intervención del usuario o del administrador. Resuelta, algunos errores capturados por el registro de Kerberos no reflejan un problema grave que se debe resolver o que incluso se puede resolver.

Por ejemplo, se registrará un registro de eventos 3 sobre un error de Kerberos que tenga el código de error 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN para el nombre de servidor cifs/<dirección> IP cuando se realice un acceso a un recurso compartido con una dirección IP del servidor y sin nombre de servidor. Si se registra este error, el cliente de Windows intenta conmutar automáticamente por recuperación a la autenticación NTLM para la cuenta de usuario. Si esta operación funciona, no recibirá ningún error.