Comment activer la journalisation des événements Kerberos
Cet article explique comment activer la journalisation des événements Kerberos.
S’applique à : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, version 1809 et versions ultérieures, Windows 7 Service Pack 1
Numéro de la base de connaissances d’origine : 262177
Résumé
Windows 7 Service Pack 1, Windows Server 2012 R2 et versions ultérieures offrent la possibilité de suivre des événements Kerberos détaillés via le journal des événements. Vous pouvez utiliser ces informations lors de la résolution des problèmes Kerberos.
Importante
La modification du niveau de journalisation entraîne la journalisation de toutes les erreurs Kerberos dans un événement. Dans le protocole Kerberos, certaines erreurs sont attendues en fonction de la spécification du protocole. Par conséquent, l’activation de la journalisation Kerberos peut générer des événements contenant des erreurs de faux positifs attendus, même en l’absence d’erreurs opérationnelles Kerberos.
Voici quelques exemples d’erreurs de faux positifs :
KDC_ERR_PREAUTH_REQUIRED est retourné sur la requête Kerberos AS initiale. Par défaut, le client Kerberos Windows n’inclut pas d’informations de pré-authentification dans cette première demande. La réponse contient des informations sur les types de chiffrement pris en charge sur le KDC et, dans le cas d’AES, les sels à utiliser pour chiffrer les hachages de mot de passe.
Recommandation : Ignorez toujours ce code d’erreur.
KDC_ERR_S_BADOPTION est utilisé par le client Kerberos pour récupérer des tickets avec des options particulières définies, par exemple, avec certains indicateurs de délégation. Lorsque le type de délégation demandé n’est pas possible, il s’agit de l’erreur qui est retournée. Le client Kerberos tente alors d’obtenir les tickets demandés à l’aide d’autres indicateurs, ce qui peut réussir.
Recommandation : Sauf si vous rencontrez des problèmes de délégation, ignorez cette erreur.
KDC_ERR_S_PRINCIPAL_UNKNOWN peut être journalisé pour une grande variété de problèmes liés au client d’application et à la liaison serveur. La cause peut être :
- Noms de principal du service manquants ou dupliqués inscrits dans AD.
- Noms de serveur ou suffixes DNS incorrects utilisés par le client, par exemple, le client recherche les enregistrements CNAME DNS et utilise l’enregistrement A résultant dans les noms de principal du service.
- Utilisation de noms de serveur non-FQDN qui doivent être résolus au-delà des limites de la forêt AD.
Recommandation : Examinez l’utilisation des noms de serveurs par les applications. Il s’agit probablement d’un problème de configuration client ou serveur.
KRB_AP_ERR_MODIFIED est journalisé lorsqu’un SPN est défini sur un compte incorrect, sans correspondre au compte avec lequel le serveur s’exécute. Le deuxième problème courant est que le mot de passe entre le KDC qui émet le ticket et le serveur hébergeant le service n’est pas synchronisé.
Recommandation : Comme pour KDC_ERR_S_PRINCIPAL_UNKNOWN, case activée si le SPN est correctement défini.
D’autres scénarios ou erreurs nécessitent l’attention des administrateurs système ou de domaine.
Importante
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.
Activer la journalisation des événements Kerberos sur un ordinateur spécifique
Démarrez l’Éditeur du Registre.
Ajoutez la valeur de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Valeur de Registre : LogLevel
Type de valeur : REG_DWORD
Données de valeur : 0x1Si la sous-clé Paramètres n’existe pas, créez-la.
Remarque
Supprimez cette valeur de Registre lorsqu’elle n’est plus nécessaire afin que les performances ne soient pas dégradées sur l’ordinateur. Vous pouvez également supprimer cette valeur de Registre pour désactiver la journalisation des événements Kerberos sur un ordinateur spécifique.
Quittez l’Éditeur du Registre. Le paramètre prend effet immédiatement sur Windows Server 2012 R2, Windows 7 et versions ultérieures.
Vous trouverez tous les événements liés à Kerberos dans le journal système.
Plus d’informations
La journalisation des événements Kerberos est destinée uniquement à des fins de résolution des problèmes lorsque vous attendez des informations supplémentaires pour le côté client Kerberos à une période d’action définie. La journalisation Kerberos doit être désactivée lorsqu’elle n’est pas activement dépanné.
D’un point de vue général, vous pouvez recevoir des erreurs supplémentaires qui sont correctement gérées par le client de réception sans intervention de l’utilisateur ou de l’administrateur. Restated, certaines erreurs capturées par la journalisation Kerberos ne reflètent pas un problème grave qui doit être résolu ou même peut être résolu.
Par exemple, un journal des événements 3 sur une erreur Kerberos qui a le code d’erreur 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN pour Nom du serveur cifs/<adresse> IP est journalisé lorsqu’un accès de partage est effectué sur une adresse IP de serveur et aucun nom de serveur. Si cette erreur est enregistrée, le client Windows tente automatiquement de revenir à l’authentification NTLM pour le compte d’utilisateur. Si cette opération fonctionne, ne recevez aucune erreur.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour