Compartilhar via

Como habilitar o log de eventos Kerberos

  • Artigo

Este artigo descreve como habilitar o log de eventos Kerberos.

Número original do KB: 262177

Resumo

Windows 7 Service Pack 1, Windows Server 2012 R2 e versões posteriores oferecem a capacidade de rastrear eventos Kerberos detalhados por meio do log de eventos. Você pode usar essas informações ao solucionar problemas do Kerberos.

Importante

A alteração no nível de registro fará com que todos os erros do Kerberos sejam registrados em um evento. No protocolo Kerberos, alguns erros são esperados com base na especificação do protocolo. Como resultado, habilitar o log Kerberos pode gerar eventos contendo erros falsos positivos esperados, mesmo quando não há erros operacionais Kerberos.

Exemplos de erros falso-positivos incluem:

  1. KDC_ERR_PREAUTH_REQUIRED é retornado na solicitação inicial do Kerberos AS. Por padrão, o cliente Kerberos do Windows não está incluindo informações de pré-autenticação nesta primeira solicitação. A resposta contém informações sobre os tipos de criptografia com suporte no KDC e, no caso do AES, os sais a serem usados para criptografar os hashes de senha.

    Recomendação: sempre ignore esse código de erro.

  2. KDC_ERR_S_BADOPTION é usado pelo cliente Kerberos para recuperar tíquetes com opções específicas definidas, por exemplo, com determinados sinalizadores de delegação. Quando o tipo de delegação solicitado não é possível, esse é o erro retornado. O cliente Kerberos tentaria obter os tíquetes solicitados usando outros sinalizadores, o que pode ser bem-sucedido.

    Recomendação: a menos que você esteja solucionando um problema de delegação, ignore esse erro.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN podem ser registrados para uma ampla variedade de problemas com o cliente do aplicativo e a ligação do servidor. A causa pode ser:

    • SPNs ausentes ou duplicados registrados no AD.
    • Nomes de servidor incorretos ou sufixos DNS usados pelo cliente, por exemplo, o cliente está perseguindo registros DNS CNAME e usa o registro A resultante em SPNs.
    • Usando nomes de servidor não FQDN que precisam ser resolvidos entre os limites da floresta do AD.

    Recomendação: Investigue o uso de nomes de servidor pelos aplicativos. É mais provável que seja um problema de configuração do cliente ou do servidor.

  4. KRB_AP_ERR_MODIFIED é registrado quando um SPN é definido em uma conta incorreta, não correspondendo à conta com a qual o servidor está sendo executado. O segundo problema comum é que a senha entre o KDC que emite o tíquete e o servidor que hospeda o serviço está fora de sincronia.

    Recomendação: Semelhante ao KDC_ERR_S_PRINCIPAL_UNKNOWN, verifique se o SPN está definido corretamente.

Outros cenários ou erros requerem a atenção dos Administradores de Sistema ou de Domínio.

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows.

Habilitar o log de eventos Kerberos em um computador específico

  1. Abra o Editor do Registro.

  2. Adicione o seguinte valor do Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Valor do Registro: LogLevel
    Tipo de valor: REG_DWORD
    Dados de valor: 0x1

    Se a subchave Parâmetros não existir, crie-a.

    Observação

    Remova esse valor do Registro quando ele não for mais necessário para que o desempenho não seja prejudicado no computador. Além disso, você pode remover esse valor do Registro para desabilitar o log de eventos Kerberos em um computador específico.

  3. Feche o Editor do Registro. A configuração entrará em vigor imediatamente no Windows Server 2012 R2, Windows 7 e versões posteriores.

  4. Você pode encontrar todos os eventos relacionados ao Kerberos no log do sistema.

Mais informações

O log de eventos Kerberos destina-se apenas à solução de problemas quando você espera informações adicionais para o lado do cliente Kerberos em um período de tempo de ação definido. Reafirmado, o log kerberos deve ser desabilitado quando não estiver ativamente solucionando problemas.

De um ponto de vista geral, você pode receber erros adicionais que são tratados corretamente pelo cliente receptor sem intervenção do usuário ou administrador. Reafirmados, alguns erros capturados pelo registro Kerberos não refletem um problema grave que deve ser resolvido ou mesmo pode ser resolvido.

Por exemplo, um log de eventos 3 sobre um erro Kerberos que tem o código de erro 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN para o nome do servidor cifs/<endereço> IP será registrado quando um acesso de compartilhamento for feito em um endereço IP do servidor e nenhum nome de servidor. Se esse erro for registrado, o cliente Windows tentará automaticamente fazer failback para a autenticação NTLM para a conta de usuário. Se esta operação funcionar, não receba nenhum erro.