如何啟用 Kerberos 事件記錄

本文說明如何啟用 Kerberos 事件記錄。

適用於：Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows 10 版本 1809 及更新版本、Windows 7 Service Pack 1
原始 KB 編號： 262177

摘要

Windows 7 Service Pack 1、Windows Server 2012 R2 和更新版本提供透過事件記錄檔追蹤詳細 Kerberos 事件的功能。 針對 Kerberos 進行疑難解答時，您可以使用此資訊。

誤判錯誤的範例包括：

1. 初始 Kerberos AS 要求會傳回KDC_ERR_PREAUTH_REQUIRED。 根據預設，Windows Kerberos 用戶端不會在此第一個要求中包含預先驗證資訊。 回應包含 KDC 上所支援加密類型的相關信息，如果是 AES，則為用來加密密碼哈希的 Salt。

   建議：請一律忽略此錯誤碼。

2. KDC_ERR_S_BADOPTION由 Kerberos 用戶端用來擷取具有特定選項的票證，例如具有特定委派旗標。 當無法使用所要求的委派類型時，這是傳回的錯誤。 然後，Kerberos 用戶端會嘗試使用其他旗標取得要求的票證，這可能會成功。

   建議：除非您對委派問題進行疑難解答，否則請忽略此錯誤。

3. KDC_ERR_S_PRINCIPAL_UNKNOWN可能會記錄應用程式用戶端和伺服器關係的各種問題。 原因可能是：

   • 缺少或複製在 AD 中註冊的 SPN。
   • 用戶端使用的伺服器名稱或 DNS 後綴不正確，例如，用戶端正在擷取 DNS CNAME 記錄，並在 SPN 中使用產生的 A 記錄。
   • 使用需要跨AD樹系界限解析的非 FQDN 伺服器名稱。

   建議：調查應用程式使用伺服器名稱。 這很可能是客戶端或伺服器設定問題。

4. KRB_AP_ERR_MODIFIED會在SPN設定為不正確的帳戶時記錄，與伺服器執行所在的帳戶不相符。 第二個常見問題是發出票證的 KDC 與裝載服務的伺服器之間的密碼不同步。

   建議：與KDC_ERR_S_PRINCIPAL_UNKNOWN類似，請檢查是否已正確設定SPN。

其他案例或錯誤需要系統管理員或網域系統管理員注意。

在特定電腦上啟用 Kerberos 事件記錄

1. 啟動 [登錄編輯程式]。

2. 新增下列登錄值：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
   登錄值：LogLevel
   實值類型：REG_DWORD
   值數據：0x1

   如果 Parameters 子機碼不存在，請建立它。

   注意事項

   不再需要此登錄值時，請移除此登錄值，以免計算機上的效能降低。 此外，您可以移除此登錄值，以停用特定電腦上的 Kerberos 事件記錄。

3. 結束登錄編輯程式。 此設定會立即在 R2、Windows 7 和更新版本 Windows Server 2012 生效。

4. 您可以在系統記錄檔中找到任何 Kerberos 相關事件。

其他相關資訊

當您預期 Kerberos 用戶端在定義的動作時間範圍內有其他資訊時，Kerberos 事件記錄僅供疑難解答之用。 若未主動進行疑難解答，則應停用 Kerberos 記錄。

從一般觀點來看，您可能會收到接收客戶端正確處理的其他錯誤，而不需要使用者或系統管理員介入。 已重述，Kerberos 記錄所擷取的某些錯誤不會反映必須解決或甚至可以解決的嚴重問題。

例如，當針對伺服器IP位址進行共用存取，且沒有伺服器名稱時，將會記錄有關 Kerberos 錯誤的事件記錄檔 3，其中包含 伺服器 名稱 cifs/<IP 位址> 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN錯誤碼。 如果記錄此錯誤，Windows 用戶端會自動嘗試容錯回復至用戶帳戶的 NTLM 驗證。 如果此作業可運作，則不會收到任何錯誤。