Kerberos-gebeurtenislogboeken inschakelen
In dit artikel wordt beschreven hoe u Kerberos-gebeurtenislogboeken inschakelt.
Van toepassing op: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 versie 1809 en latere versies, Windows 7 Service Pack 1
Origineel KB-nummer: 262177
Samenvatting
Windows 7 Service Pack 1, Windows Server 2012 R2 en latere versies bieden de mogelijkheid om gedetailleerde Kerberos-gebeurtenissen te traceren via het gebeurtenislogboek. U kunt deze informatie gebruiken bij het oplossen van problemen met Kerberos.
Belangrijk
De wijziging in het logboekniveau zorgt ervoor dat alle Kerberos-fouten worden geregistreerd in een gebeurtenis. In het Kerberos-protocol worden enkele fouten verwacht op basis van de protocolspecificatie. Als gevolg hiervan kan het inschakelen van Kerberos-logboekregistratie gebeurtenissen genereren met verwachte fout-positieve fouten, zelfs als er geen operationele Kerberos-fouten zijn.
Voorbeelden van fout-positieve fouten zijn:
KDC_ERR_PREAUTH_REQUIRED wordt geretourneerd op de eerste Kerberos AS-aanvraag. Standaard bevat de Windows Kerberos-client geen pre-verificatiegegevens in deze eerste aanvraag. Het antwoord bevat informatie over de ondersteunde versleutelingstypen op de KDC en in het geval van AES, de salts die moeten worden gebruikt om de wachtwoordhashes te versleutelen met.
Aanbeveling: negeer deze foutcode altijd.
KDC_ERR_S_BADOPTION wordt gebruikt door de Kerberos-client om tickets op te halen waarvoor bepaalde opties zijn ingesteld, bijvoorbeeld met bepaalde delegatievlagmen. Wanneer het aangevraagde type delegering niet mogelijk is, is dit de fout die wordt geretourneerd. De Kerberos-client probeert vervolgens de aangevraagde tickets op te halen met behulp van andere vlaggen, wat kan lukken.
Aanbeveling: Tenzij u problemen ondervindt bij het oplossen van een delegeringsprobleem, negeert u deze fout.
KDC_ERR_S_PRINCIPAL_UNKNOWN kunnen worden geregistreerd voor een groot aantal problemen met de client- en serververbinding van de toepassing. De oorzaak kan zijn:
- Ontbrekende of dubbele SPN's die zijn geregistreerd in AD.
- Onjuiste servernamen of DNS-achtervoegsels die door de client worden gebruikt, bijvoorbeeld: de client achtervolgt DNS CNAME-records en gebruikt de resulterende A-record in SPN's.
- Gebruik van niet-FQDN-servernamen die moeten worden omgezet over de grenzen van het AD-forest.
Aanbeveling: Onderzoek het gebruik van servernamen door de toepassingen. Het is waarschijnlijk een probleem met de client- of serverconfiguratie.
KRB_AP_ERR_MODIFIED wordt geregistreerd wanneer een SPN is ingesteld op een onjuist account, niet overeenkomt met het account waarmee de server wordt uitgevoerd. Het tweede veelvoorkomende probleem is dat het wachtwoord tussen de KDC die het ticket uitgeeft en de server die als host fungeert voor de service niet is gesynchroniseerd.
Aanbeveling: Controleer, net als bij KDC_ERR_S_PRINCIPAL_UNKNOWN, of de SPN juist is ingesteld.
Andere scenario's of fouten vereisen de aandacht van de systeem- of domeinbeheerders.
Belangrijk
Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie Een back-up maken van het register en het herstellen van het register in Windows voor meer informatie.
Kerberos-gebeurtenislogboekregistratie inschakelen op een specifieke computer
De Register-editor starten.
Voeg de volgende registerwaarde toe:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Registerwaarde: LogLevel
Waardetype: REG_DWORD
Waardegegevens: 0x1Als de subsleutel Parameters niet bestaat, maakt u deze.
Opmerking
Verwijder deze registerwaarde wanneer deze niet meer nodig is, zodat de prestaties op de computer niet verslechteren. U kunt deze registerwaarde ook verwijderen om Kerberos-gebeurtenislogboekregistratie op een specifieke computer uit te schakelen.
Sluit de Register-editor af. De instelling wordt onmiddellijk van kracht op Windows Server 2012 R2, Windows 7 en latere versies.
U vindt alle Kerberos-gerelateerde gebeurtenissen in het systeemlogboek.
Meer informatie
Kerberos-gebeurtenislogboekregistratie is alleen bedoeld voor het oplossen van problemen wanneer u aanvullende informatie verwacht voor de Kerberos-clientzijde in een gedefinieerd tijdsbestek van de actie. Kerberos-logboekregistratie moet opnieuw worden uitgeschakeld wanneer het oplossen van problemen niet actief is.
Vanuit algemeen oogpunt kunnen er extra fouten worden weergegeven die correct worden verwerkt door de ontvangende client zonder tussenkomst van de gebruiker of beheerder. Een aantal fouten die zijn vastgelegd door kerberos-logboekregistratie, geven geen ernstig probleem weer dat moet worden opgelost of zelfs kan worden opgelost.
Een gebeurtenislogboek 3 over een Kerberos-fout met de foutcode 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN voor servernaam cifs/<IP-adres> wordt bijvoorbeeld geregistreerd wanneer een share-toegang wordt gemaakt op basis van een IP-adres van een server en geen servernaam. Als deze fout wordt geregistreerd, probeert de Windows-client automatisch een failback te uitvoeren naar NTLM-verificatie voor het gebruikersaccount. Als deze bewerking werkt, ontvangt u geen foutbericht.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor