Udostępnij za pośrednictwem

Jak włączyć rejestrowanie zdarzeń protokołu Kerberos

  • Artykuł

W tym artykule opisano sposób włączania rejestrowania zdarzeń protokołu Kerberos.

Oryginalny numer KB: 262177

Podsumowanie

System Windows 7 z dodatkiem Service Pack 1, Windows Server 2012 R2 i nowsze wersje oferują możliwość śledzenia szczegółowych zdarzeń Protokołu Kerberos za pośrednictwem dziennika zdarzeń. Te informacje można użyć podczas rozwiązywania problemów z protokołem Kerberos.

Ważne

Zmiana poziomu rejestrowania spowoduje zarejestrowanie wszystkich błędów protokołu Kerberos w zdarzeniu. W protokole Kerberos niektóre błędy są oczekiwane na podstawie specyfikacji protokołu. W związku z tym włączenie rejestrowania protokołu Kerberos może generować zdarzenia zawierające oczekiwane błędy fałszywie dodatnie nawet wtedy, gdy nie ma błędów operacyjnych protokołu Kerberos.

Przykłady błędów fałszywie dodatnich obejmują:

  1. KDC_ERR_PREAUTH_REQUIRED jest zwracany w początkowym żądaniu Kerberos AS. Domyślnie klient Kerberos systemu Windows nie uwzględnia informacji przed uwierzytelnianiem w tym pierwszym żądaniu. Odpowiedź zawiera informacje o obsługiwanych typach szyfrowania w centrum dystrybucji kluczy, a w przypadku AES soli, które mają być używane do szyfrowania skrótów haseł.

    Zalecenie: zawsze ignoruj ten kod błędu.

  2. KDC_ERR_S_BADOPTION jest używany przez klienta Kerberos do pobierania biletów z określonymi opcjami ustawionymi, na przykład z określonymi flagami delegowania. Jeśli żądany typ delegowania nie jest możliwy, jest to błąd, który jest zwracany. Następnie klient Protokołu Kerberos spróbuje pobrać żądane bilety przy użyciu innych flag, które mogą zakończyć się powodzeniem.

    Zalecenie: Jeśli nie występują problemy z delegowaniem, zignoruj ten błąd.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN mogą być rejestrowane w celu uzyskania szerokiej gamy problemów z łącznikiem klienta aplikacji i serwera. Przyczyną może być:

    • Brakujące lub zduplikowane nazwy SPN zarejestrowane w usłudze AD.
    • Niepoprawne nazwy serwerów lub sufiksy DNS używane przez klienta, na przykład klient goni rekordy CNAME DNS i używa wynikowego rekordu A w nazwach SPN.
    • Używanie nazw serwerów innych niż FQDN, które należy rozpoznać w granicach lasu usługi AD.

    Zalecenie: Zbadaj użycie nazw serwerów przez aplikacje. Najprawdopodobniej jest to problem z konfiguracją klienta lub serwera.

  4. KRB_AP_ERR_MODIFIED jest rejestrowana, gdy nazwa SPN jest ustawiona na nieprawidłowym koncie, a nie pasuje do konta, z którym działa serwer. Drugim typowym problemem jest to, że hasło między centrum dystrybucji kluczy wystawiających bilet i serwer hostujący usługę jest poza synchronizacją.

    Zalecenie: Podobnie jak KDC_ERR_S_PRINCIPAL_UNKNOWN, sprawdź, czy nazwa SPN jest poprawnie ustawiona.

Inne scenariusze lub błędy wymagają uwagi administratorów systemu lub domeny.

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows.

Włączanie rejestrowania zdarzeń protokołu Kerberos na określonym komputerze

  1. Uruchom Edytor rejestru.

  2. Dodaj następującą wartość rejestru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Wartość rejestru: LogLevel
    Typ wartości: REG_DWORD
    Dane wartości: 0x1

    Jeśli podklucz Parameters nie istnieje, utwórz go.

    Uwaga 16.

    Usuń tę wartość rejestru, gdy nie jest już potrzebna, aby wydajność nie była obniżona na komputerze. Ponadto możesz usunąć tę wartość rejestru, aby wyłączyć rejestrowanie zdarzeń Protokołu Kerberos na określonym komputerze.

  3. Zamknij Edytor rejestru. Ustawienie będzie obowiązywać natychmiast w systemie Windows Server 2012 R2, Windows 7 i nowszych wersjach.

  4. Wszystkie zdarzenia związane z protokołem Kerberos można znaleźć w dzienniku systemu.

Więcej informacji

Rejestrowanie zdarzeń Protokołu Kerberos jest przeznaczone tylko do rozwiązywania problemów, gdy oczekujesz dodatkowych informacji po stronie klienta Protokołu Kerberos w zdefiniowanym przedziale czasu akcji. Po zakończeniu rejestrowanie protokołu Kerberos powinno być wyłączone, jeśli nie jest aktywnie rozwiązywane problemy.

Z ogólnego punktu widzenia mogą pojawić się dodatkowe błędy, które są prawidłowo obsługiwane przez klienta odbierającego bez interwencji użytkownika lub administratora. Restated, niektóre błędy przechwycone przez rejestrowanie Kerberos nie odzwierciedlają poważnego problemu, który należy rozwiązać, a nawet można go rozwiązać.

Na przykład dziennik zdarzeń 3 dotyczący błędu protokołu Kerberos, który zawiera kod błędu 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN dla adresu CIFS/<IP> nazwy serwera zostanie zarejestrowany, gdy dostęp do udziału zostanie wykonany względem adresu IP serwera i bez nazwy serwera. Jeśli ten błąd zostanie zarejestrowany, klient systemu Windows automatycznie podejmie próbę powrotu po awarii do uwierzytelniania NTLM dla konta użytkownika. Jeśli ta operacja działa, nie zostanie wyświetlony błąd.