次の方法で共有

Kerberos イベント ログを有効にする方法

  • [アーティクル]

この記事では、Kerberos イベント ログを有効にする方法について説明します。

元の KB 番号: 262177

まとめ

Windows 7 Service Pack 1、Windows Server 2012 R2、およびそれ以降のバージョンでは、イベント ログを介して詳細な Kerberos イベントをトレースする機能が提供されます。 この情報は、Kerberos のトラブルシューティング時に使用できます。

重要

ログ レベルの変更により、すべての Kerberos エラーがイベントに記録されます。 Kerberos プロトコルでは、プロトコルの仕様に基づいていくつかのエラーが予想されます。 その結果、Kerberos の操作エラーがない場合でも、Kerberos ログを有効にすると、予期される誤検知エラーを含むイベントが生成される可能性があります。

誤検知エラーの例を次に示します。

  1. KDC_ERR_PREAUTH_REQUIREDは、最初の Kerberos AS 要求で返されます。 既定では、Windows Kerberos クライアントのこの最初の要求には事前認証情報が含まれません。 応答には、KDC でサポートされている暗号化の種類に関する情報が含まれています。AES の場合は、パスワード ハッシュの暗号化に使用される塩が含まれます。

    推奨事項: このエラー コードは常に無視してください。

  2. KDC_ERR_S_BADOPTIONは、特定の委任フラグなど、特定のオプションが設定されたチケットを取得するために Kerberos クライアントによって使用されます。 要求された種類の委任が不可能な場合、これは返されるエラーです。 その後、Kerberos クライアントは、他のフラグを使用して要求されたチケットを取得しようとします。これは成功する可能性があります。

    推奨事項: 委任の問題を解決できない場合は、このエラーを無視してください。

  3. KDC_ERR_S_PRINCIPAL_UNKNOWNは、アプリケーション クライアントとサーバーの連絡に関するさまざまな問題についてログに記録される場合があります。 原因は次のとおりです。

    • AD に登録されている SPN が見つからないか重複しています。
    • たとえば、クライアントが使用するサーバー名または DNS サフィックスが正しくありません。たとえば、クライアントが DNS CNAME レコードを追跡し、結果の A レコードを SPN で使用しています。
    • AD フォレストの境界を越えて解決する必要がある非 FQDN サーバー名の使用。

    推奨事項: アプリケーションによるサーバー名の使用を調査します。 クライアントまたはサーバーの構成の問題である可能性が最も高いです。

  4. KRB_AP_ERR_MODIFIEDは、サーバーが実行されているアカウントと一致せず、SPN が正しくないアカウントに設定されている場合にログに記録されます。 2 つ目の一般的な問題は、チケットを発行している KDC とサービスをホストしているサーバーの間のパスワードが同期されていないということです。

    推奨事項: KDC_ERR_S_PRINCIPAL_UNKNOWNと同様に、SPN が正しく設定されているかどうかを確認します。

その他のシナリオやエラーでは、システム管理者またはドメイン管理者の注意が必要です。

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前に、バックアップします。 その後、問題が起こった場合は、レジストリを復元できます。 詳細については、「 Windows でレジストリをバックアップおよび復元する方法を参照してください。

特定のコンピューターで Kerberos イベント ログを有効にする

  1. レジストリ エディターを起動します。

  2. 次のレジストリ値を追加します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    レジストリ値: LogLevel
    値の種類: REG_DWORD
    値データ: 0x1

    Parametersサブキーが存在しない場合は、サブキーを作成します。

    Note

    コンピューターのパフォーマンスが低下しないように、このレジストリ値は不要になったら削除します。 また、このレジストリ値を削除して、特定のコンピューターで Kerberos イベント ログを無効にすることもできます。

  3. レジストリ エディターを終了します。 この設定は、Windows Server 2012 R2、Windows 7、およびそれ以降のバージョンですぐに有効になります。

  4. システム ログには、Kerberos 関連のイベントがあります。

詳細

Kerberos イベント ログは、定義済みのアクション期間に Kerberos クライアント側の追加情報が必要な場合にのみ、トラブルシューティングを目的としています。 アクティブなトラブルシューティングを行わない場合は、kerberos ログを無効にする必要があります。

一般的な観点から、ユーザーまたは管理者の介入なしに、受信側のクライアントによって正しく処理される追加のエラーを受け取る場合があります。 再び、Kerberos ログによってキャプチャされた一部のエラーには、解決する必要がある重大な問題や解決できる重大な問題が反映されていません。

たとえば、サーバー名 cifs/<IP アドレスのエラー コードが0x7 KDC_ERR_S_PRINCIPAL_UNKNOWNされた Kerberos エラーに関するイベント ログ 3 は>サーバー IP アドレスに対して共有アクセスが行われ、サーバー名がない場合にログに記録されます。 このエラーがログに記録されると、Windows クライアントはユーザー アカウントの NTLM 認証に自動的にフェールバックしようとします。 この操作が機能する場合は、エラーは発生しません。