如何啟用 Kerberos 事件記錄

本文說明如何啟用 Kerberos 事件記錄。

原始 KB 編號： 262177

摘要

Windows 7 Service Pack 1、Windows Server 2012 R2 和更新版本提供透過事件記錄檔追蹤詳細 Kerberos 事件的功能。 針對 Kerberos 進行疑難解答時，您可以使用此資訊。

重要

記錄層級的變更會導致事件中記錄所有 Kerberos 錯誤。 在 Kerberos 通訊協定中，預期會根據通訊協定規格發生某些錯誤。 因此，啟用 Kerberos 記錄可能會產生包含預期誤判錯誤的事件，即使沒有任何 Kerberos 操作錯誤也一樣。

誤判錯誤的範例包括：

1. KDC_ERR_PREAUTH_REQUIRED會在初始 Kerberos AS 要求上傳回。 根據預設，Windows Kerberos 用戶端不會在第一個要求中包含預先驗證資訊。 回應包含 KDC 上支援的加密類型相關信息，而如果是 AES，則用來加密密碼哈希的 Salt。

   建議：一律忽略此錯誤碼。

2. Kerberos 用戶端會使用KDC_ERR_S_BADOPTION擷取已設定特定選項的票證，例如，具有特定委派旗標。 當無法要求委派類型時，這是傳回的錯誤。 接著，Kerberos 用戶端會嘗試使用其他旗標來取得要求的票證，這可能會成功。

   建議：除非您在發生委派問題時發生問題，否則請忽略此錯誤。

3. KDC_ERR_S_PRINCIPAL_UNKNOWN可能會記錄應用程式用戶端和伺服器聯絡的各種問題。 原因可能是：

   • AD 中註冊的SPN遺失或重複。
   • 用戶端所使用的伺服器名稱或 DNS 後綴不正確，例如，用戶端正在追逐 DNS CNAME 記錄，並在 SPN 中使用產生的 A 記錄。
   • 使用需要跨AD樹系界限解析的非 FQDN 伺服器名稱。

   建議：調查應用程式使用伺服器名稱。 很可能是客戶端或伺服器設定問題。

4. 當SPN設定在不正確的帳戶上時，會記錄KRB_AP_ERR_MODIFIED，而不符合伺服器執行時使用的帳戶。 第二個常見問題是，發出票證的 KDC 與裝載服務的伺服器之間的密碼已同步。

   建議：類似於KDC_ERR_S_PRINCIPAL_UNKNOWN，請檢查SPN是否已正確設定。

其他案例或錯誤需要系統或網域系統管理員的注意。

重要

這個章節、方法或工作包含修改登錄的步驟。 然而，不當修改登錄可能會發生嚴重的問題。 因此，請務必小心執行下列步驟。 為增加保護起見，請先備份登錄，再進行修改。 然後，如果發生問題，您就可以還原登錄。 如需詳細資訊，請參閱 如何在 Windows 中備份和還原登錄。

在特定電腦上啟用 Kerberos 事件記錄

1. 啟動 [登錄編輯程式]。

2. 新增下列登錄值：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
   登錄值：LogLevel
   實值類型：REG_DWORD
   數值數據：0x1

   如果 Parameters 子機碼不存在，請加以建立。

   注意

   不再需要此登錄值時，請移除此登錄值，讓計算機上效能不會降低。 此外，您可以移除此登錄值，以停用特定電腦上的 Kerberos 事件記錄。

3. 結束登錄編輯程式。 此設定將會立即在 Windows Server 2012 R2、Windows 7 和更新版本上生效。

4. 您可以在系統記錄檔中找到任何 Kerberos 相關事件。

其他相關資訊

當您預期 Kerberos 用戶端在定義的動作時間範圍內有其他資訊時，Kerberos 事件記錄僅供疑難解答之用。 在未主動進行疑難解答時，應該停用重新設定 Kerberos 記錄功能。

從一般的觀點來看，您可能會收到接收客戶端正確處理的額外錯誤，而不需要使用者或系統管理員介入。 重述，Kerberos 記錄所擷取的某些錯誤不會反映必須解決甚至可以解決的嚴重問題。

例如，針對伺服器IP位址>進行共用存取且沒有伺服器名稱<時，將會記錄具有錯誤碼0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN Kerberos 錯誤的事件記錄檔3。 如果記錄此錯誤，Windows 用戶端會自動嘗試容錯回復用戶帳戶的 NTLM 驗證。 如果此作業正常運作，則不會收到任何錯誤。