Delen via

Kerberos-gebeurtenislogboeken inschakelen

  • Artikel

In dit artikel wordt beschreven hoe u Logboekregistratie van Kerberos-gebeurtenissen inschakelt.

Oorspronkelijk KB-nummer: 262177

Samenvatting

Windows 7 Service Pack 1, Windows Server 2012 R2 en latere versies bieden de mogelijkheid om gedetailleerde Kerberos-gebeurtenissen te traceren via het gebeurtenislogboek. U kunt deze informatie gebruiken bij het oplossen van problemen met Kerberos.

Belangrijk

De wijziging in logboekregistratieniveau zorgt ervoor dat alle Kerberos-fouten worden vastgelegd in een gebeurtenis. In het Kerberos-protocol worden sommige fouten verwacht op basis van de protocolspecificatie. Als gevolg hiervan kan het inschakelen van Kerberos-logboekregistratie gebeurtenissen genereren die verwachte fout-positieve fouten bevatten, zelfs als er geen operationele Kerberos-fouten zijn.

Voorbeelden van fout-positieve fouten zijn:

  1. KDC_ERR_PREAUTH_REQUIRED wordt geretourneerd op de eerste Kerberos AS-aanvraag. De Windows Kerberos-client bevat standaard geen informatie over verificatie vooraf in deze eerste aanvraag. Het antwoord bevat informatie over de ondersteunde versleutelingstypen op de KDC en in het geval van AES, de zouten waarmee de wachtwoordhashes moeten worden versleuteld.

    Aanbeveling: negeer deze foutcode altijd.

  2. KDC_ERR_S_BADOPTION wordt gebruikt door de Kerberos-client om tickets op te halen met bepaalde opties die zijn ingesteld, bijvoorbeeld met bepaalde delegatievlagmen. Wanneer het aangevraagde type delegatie niet mogelijk is, is dit de fout die wordt geretourneerd. De Kerberos-client probeert vervolgens de aangevraagde tickets op te halen met behulp van andere vlaggen, wat kan slagen.

    Aanbeveling: Tenzij u problemen ondervindt bij het maken van een delegatieprobleem, negeert u deze fout.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN kan worden geregistreerd voor een groot aantal problemen met de client- en serververbinding van de toepassing. De oorzaak kan zijn:

    • Ontbrekende of dubbele SPN's die zijn geregistreerd in AD.
    • Onjuiste servernamen of DNS-achtervoegsels die door de client worden gebruikt, bijvoorbeeld, de client achtervolgt DNS CNAME-records en gebruikt de resulterende A-record in SPN's.
    • Het gebruik van niet-FQDN-servernamen die moeten worden omgezet binnen AD-forestgrenzen.

    Aanbeveling: Onderzoek het gebruik van servernamen door de toepassingen. Het is waarschijnlijk een probleem met de client- of serverconfiguratie.

  4. KRB_AP_ERR_MODIFIED wordt geregistreerd wanneer een SPN is ingesteld voor een onjuist account, niet overeenkomt met het account waarmee de server wordt uitgevoerd. Het tweede veelvoorkomende probleem is dat het wachtwoord tussen de KDC die het ticket uitgeeft en de server die als host fungeert voor de service, niet synchroon is.

    Aanbeveling: Controleer of de SPN juist is ingesteld, vergelijkbaar met KDC_ERR_S_PRINCIPAL_UNKNOWN.

Voor andere scenario's of fouten is de aandacht van de systeem- of domeinbeheerders vereist.

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Zorg er daarom voor dat u de volgende stappen zorgvuldig volgt. Voor optimale veiligheid maakt u dagelijks een back-up van het register voordat u het wijzigt. U kunt dan het register herstellen als er een probleem optreedt. Zie Een back-up maken van het register en het herstellen in Windows voor meer informatie.

Kerberos-gebeurtenislogboeken inschakelen op een specifieke computer

  1. Start de Register-editor.

  2. Voeg de volgende registerwaarde toe:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Registerwaarde: LogLevel
    Waardetype: REG_DWORD
    Waardegegevens: 0x1

    Als de subsleutel Parameters niet bestaat, maakt u deze.

    Notitie

    Verwijder deze registerwaarde wanneer deze niet meer nodig is, zodat de prestaties niet op de computer worden gedegradeerd. U kunt deze registerwaarde ook verwijderen om Logboekregistratie van Kerberos-gebeurtenissen op een specifieke computer uit te schakelen.

  3. Sluit de Register-editor af. De instelling wordt onmiddellijk van kracht op Windows Server 2012 R2, Windows 7 en nieuwere versies.

  4. U vindt alle Kerberos-gerelateerde gebeurtenissen in het systeemlogboek.

Meer informatie

Kerberos-gebeurtenislogboekregistratie is alleen bedoeld voor het oplossen van problemen wanneer u aanvullende informatie verwacht voor de Kerberos-client tijdens een gedefinieerde actieduur. Kerberos-logboekregistratie moet worden uitgeschakeld wanneer u niet actief problemen kunt oplossen.

Vanuit een algemeen oogpunt kunt u aanvullende fouten ontvangen die correct worden afgehandeld door de ontvangende client zonder tussenkomst van de gebruiker of beheerder. Een aantal fouten die door Kerberos-logboekregistratie zijn vastgelegd, geven geen ernstig probleem weer dat moet worden opgelost of zelfs kunnen worden opgelost.

Een gebeurtenislogboek 3 bijvoorbeeld over een Kerberos-fout met de foutcode 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN voor servernaam cifs/<IP-adres> wordt geregistreerd wanneer een share-toegang wordt gemaakt op basis van een SERVER-IP-adres en geen servernaam. Als deze fout wordt geregistreerd, probeert de Windows-client automatisch een failback uit te maken naar NTLM-verificatie voor het gebruikersaccount. Als deze bewerking werkt, ontvangt u geen foutmelding.