Compartir a través de

Habilitación del registro de eventos Kerberos

  • Artículo

En este artículo se describe cómo habilitar el registro de eventos Kerberos.

Número de KB original: 262177

Resumen

Windows 7 Service Pack 1, Windows Server 2012 R2 y versiones posteriores ofrecen la capacidad de rastrear eventos kerberos detallados a través del registro de eventos. Puede usar esta información al solucionar problemas de Kerberos.

Importante

El cambio en el nivel de registro hará que todos los errores de Kerberos se registren en un evento. En el protocolo Kerberos, se esperan algunos errores en función de la especificación del protocolo. Como resultado, habilitar el registro kerberos puede generar eventos que contengan errores falsos positivos esperados incluso cuando no haya errores operativos Kerberos.

Algunos ejemplos de errores falsos positivos son:

  1. KDC_ERR_PREAUTH_REQUIRED se devuelve en la solicitud inicial de Kerberos AS. El cliente de Kerberos de Windows no incluye de forma predeterminada información de autenticación previa en esta primera solicitud. La respuesta contiene información sobre los tipos de cifrado admitidos en el KDC y, en el caso de AES, las sales con las que se van a usar para cifrar los hashes de contraseña con.

    Recomendación: omitir siempre este código de error.

  2. el cliente Kerberos usa KDC_ERR_S_BADOPTION para recuperar vales con determinadas opciones establecidas, por ejemplo, con determinadas marcas de delegación. Cuando el tipo solicitado de delegación no es posible, este es el error que se devuelve. Después, el cliente Kerberos intentaría obtener los vales solicitados mediante otras marcas, lo que puede ser correcto.

    Recomendación: A menos que tenga problemas para solucionar un problema de delegación, omita este error.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN se pueden registrar para una amplia variedad de problemas con el cliente de la aplicación y el enlace del servidor. La causa puede ser:

    • Faltan o duplican LOS SPN registrados en AD.
    • Nombres de servidor incorrectos o sufijos DNS usados por el cliente, por ejemplo, el cliente está persiguiendo registros CNAME de DNS y usa el registro A resultante en SPN.
    • Usar nombres de servidor que no son FQDN que deben resolverse a través de los límites del bosque de AD.

    Recomendación: investigue el uso de nombres de servidor por las aplicaciones. Es más probable que sea un problema de configuración de cliente o servidor.

  4. KRB_AP_ERR_MODIFIED se registra cuando se establece un SPN en una cuenta incorrecta, no coincide con la cuenta con la que se ejecuta el servidor. El segundo problema común es que la contraseña entre el KDC que emite el vale y el servidor que hospeda el servicio no está sincronizado.

    Recomendación: De forma similar a KDC_ERR_S_PRINCIPAL_UNKNOWN, compruebe si el SPN está configurado correctamente.

Otros escenarios o errores requieren la atención de los administradores del sistema o del dominio.

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información, vea Cómo realizar una copia de seguridad y restaurar el registro en Windows.

Habilitación del registro de eventos Kerberos en un equipo específico

  1. Inicia el Editor del Registro.

  2. Añada el siguiente valor de registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Valor del Registro: LogLevel
    Tipo de valor: REG_DWORD
    Datos de valor: 0x1

    Si la subclave Parameters no existe, créela.

    Nota:

    Quite este valor del Registro cuando ya no sea necesario para que el rendimiento no se degrada en el equipo. Además, puede quitar este valor del Registro para deshabilitar el registro de eventos Kerberos en un equipo específico.

  3. Salga del Editor del Registro. La configuración entrará en vigor inmediatamente en Windows Server 2012 R2, Windows 7 y versiones posteriores.

  4. Puede encontrar cualquier evento relacionado con Kerberos en el registro del sistema.

Más información

El registro de eventos kerberos solo está pensado para solucionar problemas cuando se espera información adicional para el lado cliente kerberos en un período de tiempo de acción definido. El registro kerberos se debe deshabilitar al no solucionar problemas activamente.

Desde un punto de vista general, puede recibir errores adicionales que el cliente receptor administra correctamente sin intervención de usuario o administrador. Restated, algunos errores capturados por el registro de Kerberos no reflejan un problema grave que se debe resolver o incluso se puede resolver.

Por ejemplo, un registro de eventos 3 sobre un error kerberos que tiene el código de error 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN para la dirección> CIFs/<IP del nombre del servidor se registrará cuando se realice un acceso compartido en una dirección IP del servidor y ningún nombre de servidor. Si se registra este error, el cliente de Windows intenta realizar automáticamente la conmutación por recuperación a la autenticación NTLM para la cuenta de usuario. Si esta operación funciona, no recibirá ningún error.