Como habilitar o registro em log de eventos kerberos

Este artigo descreve como habilitar o registro em log de eventos kerberos.

Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, versão 1809 e versões posteriores, Windows 7 Service Pack 1
Número de KB original: 262177

Resumo

O Windows 7 Service Pack 1, Windows Server 2012 R2 e versões posteriores oferecem a capacidade de rastrear eventos Kerberos detalhados por meio do log de eventos. Você pode usar essas informações ao solucionar problemas do Kerberos.

Importante

A alteração no nível do log fará com que todos os erros kerberos sejam registrados em um evento. No protocolo Kerberos, alguns erros são esperados com base na especificação do protocolo. Como resultado, habilitar o log do Kerberos pode gerar eventos que contenham erros false positivos esperados, mesmo quando não há erros operacionais Kerberos.

Exemplos de erros false positivos incluem:

  1. KDC_ERR_PREAUTH_REQUIRED é retornado na solicitação inicial kerberos AS. Por padrão, o Cliente Kerberos do Windows não está incluindo informações de pré-autenticação nesta primeira solicitação. A resposta contém informações sobre os tipos de criptografia com suporte no KDC e, no caso do AES, os sais a serem usados para criptografar os hashes de senha.

    Recomendação: ignore sempre esse código de erro.

  2. KDC_ERR_S_BADOPTION é usado pelo cliente Kerberos para recuperar tíquetes com opções específicas definidas, por exemplo, com determinados sinalizadores de delegação. Quando o tipo de delegação solicitado não é possível, esse é o erro retornado. O cliente Kerberos então tentaria obter os bilhetes solicitados usando outros sinalizadores, o que pode ter sucesso.

    Recomendação: a menos que você esteja com problemas para solucionar um problema de delegação, ignore esse erro.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN pode ser registrado para uma grande variedade de problemas com o cliente do aplicativo e a ligação do servidor. A causa pode ser:

    • SPNs ausentes ou duplicados registrados no AD.
    • Nomes de servidor incorretos ou sufixos DNS usados pelo cliente, por exemplo, o cliente está perseguindo registros CNAME DNS e usando o registro A resultante em SPNs.
    • Usando nomes de servidor não FQDN que precisam ser resolvidos entre os limites da floresta do AD.

    Recomendação: investigue o uso de nomes de servidor pelos aplicativos. Provavelmente é um problema de configuração de cliente ou servidor.

  4. KRB_AP_ERR_MODIFIED é registrado quando um SPN é definido em uma conta incorreta, não correspondendo à conta com a qual o servidor está em execução. O segundo problema comum é que a senha entre o KDC que emite o tíquete e o servidor que hospeda o serviço está fora de sincronização.

    Recomendação: semelhante a KDC_ERR_S_PRINCIPAL_UNKNOWN, marcar se o SPN está definido corretamente.

Outros cenários ou erros exigem a atenção dos Administradores do Sistema ou do Domínio.

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows.

Habilitar o log de eventos kerberos em um computador específico

  1. Inicie o Editor do Registro.

  2. Adicione o seguinte valor do Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Valor do Registro: LogLevel
    Tipo de valor: REG_DWORD
    Dados de valor: 0x1

    Se a subchave Parâmetros não existir, crie-a.

    Observação

    Remova esse valor de registro quando ele não for mais necessário para que o desempenho não seja degradado no computador. Além disso, você pode remover esse valor de registro para desabilitar o log de eventos kerberos em um computador específico.

  3. Saia do Editor do Registro. A configuração entrará em vigor imediatamente em versões Windows Server 2012 R2, Windows 7 e posteriores.

  4. Você pode encontrar quaisquer eventos relacionados ao Kerberos no log do sistema.

Mais informações

O log de eventos Kerberos destina-se apenas à solução de problemas quando você espera informações adicionais para o lado do cliente Kerberos em um período de ação definido. O registro em log kerberos deve ser desabilitado ao não solucionar problemas ativamente.

Do ponto de vista geral, você pode receber erros adicionais que são tratados corretamente pelo cliente receptor sem intervenção de usuário ou administrador. Restados, alguns erros capturados pelo log kerberos não refletem um problema grave que deve ser resolvido ou mesmo pode ser resolvido.

Por exemplo, um log de eventos 3 sobre um erro Kerberos que tem o código de erro 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN para o nome do servidor cifs/<endereço> IP será registrado quando um acesso de compartilhamento for feito em um endereço IP do servidor e nenhum nome do servidor. Se esse erro for registrado, o cliente Windows tentará retornar automaticamente à autenticação NTLM para a conta de usuário. Se essa operação funcionar, não receba nenhum erro.