Dela via

Så här aktiverar du Kerberos-händelseloggning

  • Artikel

I den här artikeln beskrivs hur du aktiverar Kerberos-händelseloggning.

Ursprungligt KB-nummer: 262177

Sammanfattning

Windows 7 Service Pack 1, Windows Server 2012 R2 och senare versioner erbjuder möjligheten att spåra detaljerade Kerberos-händelser via händelseloggen. Du kan använda den här informationen när du felsöker Kerberos.

Viktigt!

Ändringen i loggningsnivån gör att alla Kerberos-fel loggas i en händelse. I Kerberos-protokollet förväntas vissa fel baserat på protokollspecifikationen. Därför kan aktivering av Kerberos-loggning generera händelser som innehåller förväntade falska positiva fel även om det inte finns några Kerberos-driftsfel.

Exempel på falska positiva fel är:

  1. KDC_ERR_PREAUTH_REQUIRED returneras på den första Kerberos AS-begäran. Windows Kerberos-klienten innehåller som standard inte information om förautentisering i den första begäran. Svaret innehåller information om de krypteringstyper som stöds på KDC, och i händelse av AES, de salter som ska användas för att kryptera lösenordshasherna med.

    Rekommendation: Ignorera alltid den här felkoden.

  2. KDC_ERR_S_BADOPTION används av Kerberos-klienten för att hämta biljetter med särskilda alternativ angivna, till exempel med vissa delegeringsflaggor. När den begärda typen av delegering inte är möjlig är det här felet som returneras. Kerberos-klienten skulle sedan försöka hämta de begärda biljetterna med hjälp av andra flaggor, vilket kan lyckas.

    Rekommendation: Ignorera det här felet om du inte felsöker ett delegeringsproblem.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN kan loggas för en mängd olika problem med programklienten och serverkontakten. Orsaken kan vara:

    • Saknade eller duplicerade SPN som registrerats i AD.
    • Felaktiga servernamn eller DNS-suffix som används av klienten, till exempel, klienten jagar DNS CNAME-poster och använder den resulterande A-posten i SPN.
    • Använda icke-FQDN-servernamn som måste matchas över AD-skogsgränser.

    Rekommendation: Undersök användningen av servernamn av programmen. Det är troligtvis ett problem med klient- eller serverkonfigurationen.

  4. KRB_AP_ERR_MODIFIED loggas när ett SPN har angetts för ett felaktigt konto och inte matchar det konto som servern körs med. Det andra vanliga problemet är att lösenordet mellan KDC som utfärdar biljetten och servern som är värd för tjänsten inte är synkroniserat.

    Rekommendation: Kontrollera om SPN är korrekt inställt på KDC_ERR_S_PRINCIPAL_UNKNOWN.

Andra scenarier eller fel kräver system- eller domänadministratörernas uppmärksamhet.

Viktigt!

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför noggrant dessa steg. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. Mer information finns i Säkerhetskopiera och återställa registret i Windows.

Aktivera Kerberos-händelseloggning på en specifik dator

  1. Öppna Registereditorn.

  2. Lägg till följande registervärde:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Registervärde: LogLevel
    Värdetyp: REG_DWORD
    Värdedata: 0x1

    Om undernyckeln Parametrar inte finns skapar du den.

    Kommentar

    Ta bort det här registervärdet när det inte längre behövs så att prestandan inte försämras på datorn. Du kan också ta bort det här registervärdet för att inaktivera Kerberos-händelseloggning på en viss dator.

  3. Avsluta Registereditorn. Inställningen börjar gälla omedelbart på Windows Server 2012 R2, Windows 7 och senare versioner.

  4. Du hittar alla Kerberos-relaterade händelser i systemloggen.

Mer information

Kerberos-händelseloggning är endast avsedd för felsökning när du förväntar dig ytterligare information för Kerberos-klientsidan vid en definierad åtgärdstidsram. Omräknad bör kerberos-loggning inaktiveras när du inte felsöker aktivt.

Generellt sett kan du få ytterligare fel som hanteras korrekt av den mottagande klienten utan att användaren eller administratören behöver göra något. Omräknade återspeglar vissa fel som fångas av Kerberos-loggning inte ett allvarligt problem som måste lösas eller ens kan lösas.

Till exempel loggas en händelselogg 3 om ett Kerberos-fel som har felkoden 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN för cifs/<IP-adress> för servernamn när en resursåtkomst görs mot en server-IP-adress och inget servernamn. Om det här felet loggas försöker Windows-klienten automatiskt återställa till NTLM-autentisering för användarkontot. Om den här åtgärden fungerar får du inget fel.