Så här aktiverar du Kerberos-händelseloggning

  • Artikel

Den här artikeln beskriver hur du aktiverar Kerberos-händelseloggning.

Gäller för: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 version 1809 och senare versioner, Windows 7 Service Pack 1
Ursprungligt KB-nummer: 262177

Sammanfattning

Windows 7 Service Pack 1, Windows Server 2012 R2 och senare versioner erbjuder möjligheten att spåra detaljerade Kerberos-händelser via händelseloggen. Du kan använda den här informationen när du felsöker Kerberos.

Viktigt

Ändringen i loggningsnivån gör att alla Kerberos-fel loggas i en händelse. I Kerberos-protokollet förväntas vissa fel baserat på protokollspecifikationen. Därför kan aktivering av Kerberos-loggning generera händelser som innehåller förväntade falska positiva fel även om det inte finns några kerberos-driftsfel.

Exempel på falska positiva fel är:

  1. KDC_ERR_PREAUTH_REQUIRED returneras på den första Kerberos AS-begäran. Som standard inkluderar Inte Windows Kerberos-klienten information om förautentisering i den första begäran. Svaret innehåller information om de krypteringstyper som stöds på KDC och i händelse av AES, de salter som ska användas för att kryptera lösenordshasharna med.

    Rekommendation: Ignorera alltid den här felkoden.

  2. KDC_ERR_S_BADOPTION används av Kerberos-klienten för att hämta biljetter med särskilda alternativ angivna, till exempel med vissa delegeringsflaggor. Om den begärda typen av delegering inte är möjlig är det här felet som returneras. Kerberos-klienten skulle sedan försöka hämta de begärda biljetterna med hjälp av andra flaggor, vilket kan lyckas.

    Rekommendation: Om du inte felsöker ett delegeringsproblem ignorerar du det här felet.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN kan loggas för en mängd olika problem med programklienten och serverkontakten. Orsaken kan vara:

    • Saknade eller duplicerade SPN:er som registrerats i AD.
    • Felaktiga servernamn eller DNS-suffix som används av klienten, till exempel, klienten jagar DNS CNAME-poster och använder den resulterande A-posten i SPN:er.
    • Använda icke-FQDN-servernamn som måste matchas över AD-skogsgränser.

    Rekommendation: Undersök användningen av servernamn av programmen. Det är troligtvis ett problem med klient- eller serverkonfigurationen.

  4. KRB_AP_ERR_MODIFIED loggas när ett SPN har angetts för ett felaktigt konto och inte matchar det konto som servern körs med. Det andra vanliga problemet är att lösenordet mellan den KDC som utfärdar biljetten och servern som är värd för tjänsten inte är synkroniserat.

    Rekommendation: På liknande sätt som KDC_ERR_S_PRINCIPAL_UNKNOWN kontrollerar du om SPN har angetts korrekt.

Andra scenarier eller fel kräver system- eller domänadministratörernas uppmärksamhet.

Viktigt

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Mer information finns i Säkerhetskopiera och återställa registret i Windows.

Aktivera Kerberos-händelseloggning på en specifik dator

  1. Starta Registereditorn.

  2. Lägg till följande registervärde:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Registervärde: LogLevel
    Värdetyp: REG_DWORD
    Värdedata: 0x1

    Om undernyckeln Parametrar inte finns skapar du den.

    Obs!

    Ta bort det här registervärdet när det inte längre behövs så att prestanda inte försämras på datorn. Du kan också ta bort det här registervärdet för att inaktivera Kerberos-händelseloggning på en specifik dator.

  3. Avsluta Registereditorn. Inställningen börjar gälla omedelbart på Windows Server 2012 R2, Windows 7 och senare versioner.

  4. Du hittar alla Kerberos-relaterade händelser i systemloggen.

Mer information

Kerberos-händelseloggning är endast avsedd för felsökning när du förväntar dig ytterligare information för Kerberos-klientsidan inom en definierad åtgärdstidsram. Omräknad bör kerberos-loggning inaktiveras när du inte aktivt felsöker.

Ur en allmän synvinkel kan du få ytterligare fel som hanteras korrekt av den mottagande klienten utan att användaren eller administratören behöver göra något. Omräknat återspeglar vissa fel som fångas av Kerberos-loggning inte ett allvarligt problem som måste lösas eller ens kan lösas.

Till exempel loggas en händelselogg 3 om ett Kerberos-fel som har felkoden 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN för servernamn cifs/<IP-adress> när en resursåtkomst görs mot en server-IP-adress och inget servernamn. Om det här felet loggas försöker Windows-klienten automatiskt återställa till NTLM-autentisering för användarkontot. Om den här åtgärden fungerar får du inget fel.