Freigeben über

Aktivieren der Kerberos-Ereignisprotokollierung

  • Artikel

In diesem Artikel wird beschrieben, wie Sie die Kerberos-Ereignisprotokollierung aktivieren.

Ursprüngliche KB-Nummer: 262177

Übersicht

Windows 7 Service Pack 1, Windows Server 2012 R2 und höhere Versionen bieten die Möglichkeit, detaillierte Kerberos-Ereignisse über das Ereignisprotokoll nachzuverfolgen. Diese Informationen können Sie bei der Problembehandlung bei Kerberos verwenden.

Wichtig

Die Änderung der Protokollierungsebene führt dazu, dass alle Kerberos-Fehler in einem Ereignis protokolliert werden. Im Kerberos-Protokoll werden einige Fehler basierend auf der Protokollspezifikation erwartet. Daher kann die Aktivierung der Kerberos-Protokollierung Ereignisse generieren, die erwartete falsch positive Fehler enthalten, auch wenn keine Kerberos-Betriebsfehler vorhanden sind.

Beispiele für falsch positive Fehler sind:

  1. KDC_ERR_PREAUTH_REQUIRED wird für die anfängliche Kerberos AS-Anforderung zurückgegeben. Der Windows-Kerberos-Client erfasst in dieser ersten Anforderung standardmäßig keine Vorauthentifizierungsinformationen. Die Antwort enthält Informationen zu den unterstützten Verschlüsselungstypen auf dem KDC, und im Falle von AES werden die Salze verwendet, mit der die Kennworthashes verschlüsselt werden sollen.

    Empfehlung: Ignorieren Sie diesen Fehlercode immer.

  2. KDC_ERR_S_BADOPTION wird vom Kerberos-Client verwendet, um Tickets mit bestimmten Optionen abzurufen, z. B. mit bestimmten Delegierungskennzeichnungen. Wenn der angeforderte Delegierungstyp nicht möglich ist, ist dies der Fehler, der zurückgegeben wird. Der Kerberos-Client würde dann versuchen, die angeforderten Tickets mit anderen Flags abzurufen, was möglicherweise erfolgreich ist.

    Empfehlung: Wenn Sie kein Problem beim Abschießen eines Delegationsproblems haben, ignorieren Sie diesen Fehler.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN können für eine Vielzahl von Problemen mit dem Anwendungsclient und der Serververbindung protokolliert werden. Die Ursache kann sein:

    • Fehlende oder doppelte SPNs, die in AD registriert sind.
    • Falsche Servernamen oder DNS-Suffixe, die vom Client verwendet werden, z. B. führt der Client dns-CNAME-Einträge durch und verwendet den resultierenden A-Eintrag in SPNs.
    • Verwenden von Nicht-FQDN-Servernamen, die über AD-Gesamtstrukturgrenzen hinweg aufgelöst werden müssen.

    Empfehlung: Untersuchen Sie die Verwendung von Servernamen durch die Anwendungen. Es ist höchstwahrscheinlich ein Client- oder Serverkonfigurationsproblem.

  4. KRB_AP_ERR_MODIFIED protokolliert wird, wenn ein SPN für ein falsches Konto festgelegt ist und nicht dem Konto entspricht, mit dem der Server ausgeführt wird. Das zweite häufige Problem besteht darin, dass das Kennwort zwischen dem KDC, das das Ticket ausgibt, und dem Server, auf dem der Dienst gehostet wird, nicht synchronisiert ist.

    Empfehlung: Überprüfen Sie ähnlich wie KDC_ERR_S_PRINCIPAL_UNKNOWN, ob der SPN ordnungsgemäß festgelegt ist.

Andere Szenarien oder Fehler erfordern die Aufmerksamkeit der System- oder Domänenadministratoren.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Aktivieren der Kerberos-Ereignisprotokollierung auf einem bestimmten Computer

  1. Starten Sie den Registrierungs-Editor.

  2. Fügen Sie den folgenden Registrierungswert hinzu:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Registrierungswert: LogLevel
    Werttyp: REG_DWORD
    Wertdaten: 0x1

    Wenn der Unterschlüssel "Parameters " nicht vorhanden ist, erstellen Sie ihn.

    Notiz

    Entfernen Sie diesen Registrierungswert, wenn er nicht mehr benötigt wird, damit die Leistung auf dem Computer nicht beeinträchtigt wird. Außerdem können Sie diesen Registrierungswert entfernen, um die Kerberos-Ereignisprotokollierung auf einem bestimmten Computer zu deaktivieren.

  3. Beenden Sie den Registrierungs-Editor. Die Einstellung wird sofort auf Windows Server 2012 R2, Windows 7 und höher wirksam.

  4. Sie finden alle Kerberos-bezogenen Ereignisse im Systemprotokoll.

Weitere Informationen

Die Kerberos-Ereignisprotokollierung dient nur zur Problembehandlung, wenn Sie zusätzliche Informationen für die Kerberos-Clientseite in einem definierten Aktionszeitrahmen erwarten. Restated, Kerberos-Protokollierung sollte deaktiviert werden, wenn keine aktive Problembehandlung erfolgt.

Aus allgemeiner Sicht erhalten Sie möglicherweise zusätzliche Fehler, die vom empfangenden Client ordnungsgemäß behandelt werden, ohne dass ein Benutzer- oder Administratoreingriff erforderlich ist. Einige fehler, die von der Kerberos-Protokollierung erfasst werden, spiegeln kein schwerwiegendes Problem wider, das gelöst werden muss oder sogar gelöst werden kann.

Beispielsweise wird ein Ereignisprotokoll 3 zu einem Kerberos-Fehler protokolliert, der den Fehlercode 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN für Servername cifs/<IP-Adresse> protokolliert wird, wenn ein Freigabezugriff für eine Server-IP-Adresse und keinen Servernamen erfolgt. Wenn dieser Fehler protokolliert wird, versucht der Windows-Client automatisch, die NTLM-Authentifizierung für das Benutzerkonto zurückzuschalten. Wenn dieser Vorgang funktioniert, wird kein Fehler angezeigt.