Aktivieren der Kerberos-Ereignisprotokollierung

In diesem Artikel wird beschrieben, wie die Kerberos-Ereignisprotokollierung aktiviert wird.

Gilt für: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, Version 1809 und höhere Versionen, Windows 7 Service Pack 1
Ursprüngliche KB-Nummer: 262177

Zusammenfassung

Windows 7 Service Pack 1, Windows Server 2012 R2 und höhere Versionen bieten die Möglichkeit, detaillierte Kerberos-Ereignisse über das Ereignisprotokoll nachzuverfolgen. Sie können diese Informationen bei der Problembehandlung bei Kerberos verwenden.

Wichtig

Die Änderung der Protokollierungsebene führt dazu, dass alle Kerberos-Fehler in einem Ereignis protokolliert werden. Im Kerberos-Protokoll werden basierend auf der Protokollspezifikation einige Fehler erwartet. Daher kann die Aktivierung der Kerberos-Protokollierung Ereignisse generieren, die erwartete falsch positive Fehler enthalten, auch wenn keine Kerberos-Betriebsfehler vorhanden sind.

Beispiele für falsch positive Fehler sind:

  1. KDC_ERR_PREAUTH_REQUIRED wird bei der ursprünglichen Kerberos AS-Anforderung zurückgegeben. Standardmäßig enthält der Windows Kerberos-Client in dieser ersten Anforderung keine Vorauthentifizierungsinformationen. Die Antwort enthält Informationen zu den unterstützten Verschlüsselungstypen auf dem KDC und im Falle von AES die Salte, mit der die Kennworthashes verschlüsselt werden sollen.

    Empfehlung: Ignorieren Sie diesen Fehlercode immer.

  2. KDC_ERR_S_BADOPTION wird vom Kerberos-Client verwendet, um Tickets mit bestimmten Optionen abzurufen, z. B. mit bestimmten Delegierungsflags. Wenn der angeforderte Delegierungstyp nicht möglich ist, wird dieser Fehler zurückgegeben. Der Kerberos-Client würde dann versuchen, die angeforderten Tickets mit anderen Flags zu erhalten, was möglicherweise erfolgreich ist.

    Empfehlung: Ignorieren Sie diesen Fehler, es sei denn, Sie haben Probleme beim Schießen eines Delegierungsproblems.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN können für eine Vielzahl von Problemen mit dem Anwendungsclient und der Serververbindung protokolliert werden. Die Ursache kann sein:

    • Fehlende oder doppelte SPNs, die in AD registriert sind.
    • Falsche Servernamen oder DNS-Suffixe, die vom Client verwendet werden, z. B. verfolgt der Client DNS-CNAME-Einträge und verwendet den resultierenden A-Eintrag in SPNs.
    • Verwenden von Nicht-FQDN-Servernamen, die über AD-Gesamtstrukturgrenzen hinweg aufgelöst werden müssen.

    Empfehlung: Untersuchen Sie die Verwendung von Servernamen durch die Anwendungen. Es handelt sich höchstwahrscheinlich um ein Client- oder Serverkonfigurationsproblem.

  4. KRB_AP_ERR_MODIFIED wird protokolliert, wenn ein SPN für ein falsches Konto festgelegt ist und nicht mit dem Konto übereinstimmt, mit dem der Server ausgeführt wird. Das zweite häufige Problem besteht darin, dass das Kennwort zwischen dem KDC, der das Ticket ausgibt, und dem Server, auf dem der Dienst gehostet wird, nicht synchronisiert ist.

    Empfehlung: Überprüfen Sie ähnlich wie bei KDC_ERR_S_PRINCIPAL_UNKNOWN, ob der SPN richtig festgelegt ist.

Andere Szenarien oder Fehler erfordern die Aufmerksamkeit der System- oder Domänenadministratoren.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Aktivieren der Kerberos-Ereignisprotokollierung auf einem bestimmten Computer

  1. Starten Sie den Registrierungs-Editor.

  2. Fügen Sie den folgenden Registrierungswert hinzu:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Registrierungswert: LogLevel
    Werttyp: REG_DWORD
    Wertdaten: 0x1

    Wenn der Parameter-Unterschlüssel nicht vorhanden ist, erstellen Sie ihn.

    Hinweis

    Entfernen Sie diesen Registrierungswert, wenn er nicht mehr benötigt wird, damit die Leistung auf dem Computer nicht beeinträchtigt wird. Sie können diesen Registrierungswert auch entfernen, um die Kerberos-Ereignisprotokollierung auf einem bestimmten Computer zu deaktivieren.

  3. Schließen Sie den Registrierungs-Editor. Die Einstellung wird ab Windows Server 2012 R2, Windows 7 und höheren Versionen sofort wirksam.

  4. Sie finden alle Kerberos-bezogenen Ereignisse im Systemprotokoll.

Weitere Informationen

Die Kerberos-Ereignisprotokollierung dient nur zur Problembehandlung, wenn Sie zusätzliche Informationen für die Kerberos-Clientseite in einem definierten Aktionszeitrahmen erwarten. Wenn die Kerberos-Protokollierung nicht aktiv behandelt wird, sollte die Kerberos-Protokollierung deaktiviert werden.

Aus allgemeiner Sicht erhalten Sie möglicherweise zusätzliche Fehler, die vom empfangenden Client ohne Benutzer- oder Administratoreingriff ordnungsgemäß behandelt werden. Im Übrigen spiegeln einige von der Kerberos-Protokollierung erfasste Fehler kein schwerwiegendes Problem wider, das gelöst werden muss oder sogar behoben werden kann.

Beispielsweise wird ein Ereignisprotokoll 3 über einen Kerberos-Fehler, der den Fehlercode 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN für Servernamen-Cifs/<IP-Adresse> aufweist, protokolliert, wenn ein Freigabezugriff auf eine Server-IP-Adresse und keinen Servernamen erfolgt. Wenn dieser Fehler protokolliert wird, versucht der Windows-Client automatisch, zur NTLM-Authentifizierung für das Benutzerkonto zurückzuschlagen. Wenn dieser Vorgang funktioniert, erhalten Sie keinen Fehler.