Come abilitare la registrazione eventi Kerberos

Questo articolo descrive come abilitare la registrazione eventi Kerberos.

Si applica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, versione 1809 e versioni successive, Windows 7 Service Pack 1
Numero KB originale: 262177

Riepilogo

Windows 7 Service Pack 1, Windows Server 2012 R2 e versioni successive offrono la possibilità di tracciare eventi Kerberos dettagliati tramite il registro eventi. È possibile usare queste informazioni per la risoluzione dei problemi di Kerberos.

Importante

La modifica del livello di registrazione causerà la registrazione di tutti gli errori Kerberos in un evento. Nel protocollo Kerberos sono previsti alcuni errori in base alla specifica del protocollo. Di conseguenza, l'abilitazione della registrazione Kerberos può generare eventi contenenti errori falsi positivi previsti anche quando non sono presenti errori operativi Kerberos.

Esempi di errori falsi positivi includono:

  1. KDC_ERR_PREAUTH_REQUIRED viene restituito nella richiesta as Kerberos iniziale. Per impostazione predefinita, il client Kerberos Di Windows non include le informazioni di preautenzione in questa prima richiesta. La risposta contiene informazioni sui tipi di crittografia supportati nel KDC e, nel caso di AES, i salt con cui crittografare gli hash delle password.

    Raccomandazione: ignorare sempre questo codice di errore.

  2. KDC_ERR_S_BADOPTION viene usato dal client Kerberos per recuperare i ticket con opzioni specifiche impostate, ad esempio con determinati flag di delega. Quando il tipo di delega richiesto non è possibile, si tratta dell'errore restituito. Il client Kerberos tenterà quindi di ottenere i ticket richiesti usando altri flag, che potrebbero avere esito positivo.

    Raccomandazione: a meno che non si stia riscontrando un problema di delega, ignorare questo errore.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN possono essere registrati per un'ampia gamma di problemi relativi al collegamento tra client dell'applicazione e server. La causa può essere:

    • Nomi SPN mancanti o duplicati registrati in ACTIVE Directory.
    • Nomi di server o suffissi DNS non corretti usati dal client, ad esempio, il client sta cercando i record CNAME DNS e usa il record A risultante nei nomi SPN.
    • Uso di nomi di server non FQDN che devono essere risolti oltre i limiti della foresta di Active Directory.

    Raccomandazione: esaminare l'uso dei nomi dei server da parte delle applicazioni. È molto probabile che si tratti di un problema di configurazione del client o del server.

  4. KRB_AP_ERR_MODIFIED viene registrato quando un NOME SPN è impostato su un account non corretto, non corrispondente all'account con cui è in esecuzione il server. Il secondo problema comune è che la password tra il KDC che emette il ticket e il server che ospita il servizio non è sincronizzata.

    Raccomandazione: analogamente a KDC_ERR_S_PRINCIPAL_UNKNOWN, verificare se l'SPN è impostato correttamente.

Altri scenari o errori richiedono l'attenzione degli amministratori di sistema o di dominio.

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni, vedere Come eseguire il backup e ripristinare il Registro di sistema in Windows.

Abilitare la registrazione eventi Kerberos in un computer specifico

  1. Avviare l'editor del Registro di sistema

  2. Aggiungere il seguente valore del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Valore del Registro di sistema: LogLevel
    Tipo di valore: REG_DWORD
    Dati valore: 0x1

    Se la sottochiave Parameters non esiste, crearla.

    Nota

    Rimuovere questo valore del Registro di sistema quando non è più necessario in modo che le prestazioni non vengano ridotte nel computer. È anche possibile rimuovere questo valore del Registro di sistema per disabilitare la registrazione degli eventi Kerberos in un computer specifico.

  3. Chiudere l'editor del Registro di sistema. L'impostazione diventerà immediatamente effettiva in Windows Server 2012 R2, Windows 7 e versioni successive.

  4. È possibile trovare tutti gli eventi correlati a Kerberos nel log di sistema.

Ulteriori informazioni

La registrazione degli eventi Kerberos è destinata solo a scopo di risoluzione dei problemi quando si prevedono informazioni aggiuntive per il lato client Kerberos in un intervallo di tempo di azione definito. Restated, la registrazione Kerberos deve essere disabilitata quando non è attiva la risoluzione dei problemi.

Dal punto di vista generale, è possibile che vengano visualizzati errori aggiuntivi gestiti correttamente dal client ricevente senza l'intervento dell'utente o dell'amministratore. Riposato, alcuni errori acquisiti dalla registrazione Kerberos non riflettono un problema grave che deve essere risolto o può anche essere risolto.

Ad esempio, un registro eventi 3 relativo a un errore Kerberos con il codice di errore 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN per nome server cifs/<indirizzo> IP verrà registrato quando viene eseguito l'accesso a una condivisione su un indirizzo IP del server e nessun nome del server. Se questo errore viene registrato, il client Windows tenta automaticamente di eseguire il failback all'autenticazione NTLM per l'account utente. Se questa operazione funziona, non viene visualizzato alcun errore.