Kerberos olay günlüğünü etkinleştirme

Bu makalede Kerberos olay günlüğünün nasıl etkinleştirileceği açıklanır.

Şunlar için geçerlidir: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, sürüm 1809 ve sonraki sürümleri, Windows 7 Service Pack 1
Özgün KB numarası: 262177

Özet

Windows 7 Service Pack 1, Windows Server 2012 R2 ve sonraki sürümleri, olay günlüğü aracılığıyla ayrıntılı Kerberos olaylarını izleme özelliği sunar. Kerberos sorunlarını giderirken bu bilgileri kullanabilirsiniz.

Önemli

Günlük düzeyindeki değişiklik, tüm Kerberos hatalarının bir olayda günlüğe kaydedilmesine neden olur. Kerberos protokolünde, protokol belirtimine göre bazı hatalar beklenir. Sonuç olarak, Kerberos günlüğünün etkinleştirilmesi, Kerberos işletimsel hataları olmasa bile beklenen hatalı pozitif hataları içeren olaylar oluşturabilir.

Hatalı pozitif hata örnekleri şunlardır:

1. KDC_ERR_PREAUTH_REQUIRED ilk Kerberos AS isteğinde döndürülür. Varsayılan olarak, Windows Kerberos İstemcisi bu ilk istekte ön kimlik doğrulama bilgilerini içermez. Yanıt, KDC'de desteklenen şifreleme türleri ve AES olması durumunda parola karmalarını şifrelemek için kullanılacak tuzlar hakkında bilgi içerir.

   Öneri: Bu hata kodunu her zaman yoksayın.

2. KDC_ERR_S_BADOPTION, Kerberos istemcisi tarafından belirli seçenekler ayarlanmış biletler almak için kullanılır( örneğin, belirli temsilci bayraklarıyla). İstenen temsilci türü mümkün olmadığında, döndürülen hata budur. Kerberos istemcisi daha sonra istenen biletleri başarılı olabilecek diğer bayrakları kullanarak almaya çalışır.

   Öneri: Temsilci seçme sorununu gidermediğiniz sürece bu hatayı yoksayın.

3. KDC_ERR_S_PRINCIPAL_UNKNOWN, uygulama istemcisi ve sunucu bağlantısıyla ilgili çok çeşitli sorunlar için günlüğe kaydedilebilir. Nedeni şu olabilir:

   • AD'de kayıtlı eksik veya yinelenen SPN'ler.
   • İstemci tarafından kullanılan hatalı sunucu adları veya DNS sonekleri, örneğin, istemci DNS CNAME kayıtlarını takip ediyor ve sonuçta elde edilen A kaydını SPN'lerde kullanıyor.
   • AD orman sınırları arasında çözülmesi gereken FQDN olmayan sunucu adlarını kullanma.

   Öneri: Uygulamalar tarafından sunucu adlarının kullanımını araştırın. Bu büyük olasılıkla bir istemci veya sunucu yapılandırma sorunudur.

4. KRB_AP_ERR_MODIFIED, spn yanlış bir hesapta ayarlandığında günlüğe kaydedilir; sunucunun çalıştığı hesapla eşleşmiyor. İkinci yaygın sorun, anahtarı veren KDC ile hizmeti barındıran sunucu arasındaki parolanın eşitlenmemiş olmasıdır.

   Öneri: KDC_ERR_S_PRINCIPAL_UNKNOWN benzer şekilde SPN'nin doğru ayarlanıp ayarlanmadığını denetleyin.

Diğer senaryolar veya hatalar, Sistem veya Etki Alanı Yöneticilerinin dikkatini gerektirir.

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Daha fazla bilgi için bkz. Windows'da kayıt defterini yedekleme ve geri yükleme.

Belirli bir bilgisayarda Kerberos olay günlüğünü etkinleştirme

1. Kayıt Defteri Düzenleyicisi'ni başlatın.

2. Aşağıdaki kayıt defteri değerini ekleyin:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
   Kayıt Defteri Değeri: LogLevel
   Değer Türü: REG_DWORD
   Değer Verileri: 0x1

   Parameters alt anahtarı yoksa oluşturun.

   Not

   Bilgisayarda performansın düşürülmemesi için artık gerekli olmadığında bu kayıt defteri değerini kaldırın. Ayrıca, belirli bir bilgisayarda Kerberos olay günlüğünü devre dışı bırakmak için bu kayıt defteri değerini kaldırabilirsiniz.

3. Kayıt Defteri Düzenleyicisi'nden çıkın. Ayar, Windows Server 2012 R2, Windows 7 ve sonraki sürümlerde hemen geçerli olur.

4. Kerberos ile ilgili tüm olayları sistem günlüğünde bulabilirsiniz.

Daha fazla bilgi

Kerberos olay günlüğü yalnızca tanımlı bir eylem zaman diliminde Kerberos istemci tarafı için ek bilgi beklediğiniz durumlarda sorun giderme amacıyla tasarlanmıştır. Etkin olarak sorun giderme olmadığında restated, kerberos günlüğü devre dışı bırakılmalıdır.

Genel bir bakış açısından, kullanıcı veya yönetici müdahalesi olmadan alıcı istemci tarafından doğru şekilde işlenen ek hatalar alabilirsiniz. Restated, Kerberos günlüğü tarafından yakalanan bazı hatalar çözülmesi gereken ve hatta çözülebilecek ciddi bir sorunu yansıtmaz.

Örneğin, Sunucu Adı cifs/<IP adresi için 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN hata koduna sahip bir Kerberos hatasıyla ilgili bir olay günlüğü 3, sunucu IP adresi > üzerinden paylaşım erişimi yapıldığında ve sunucu adı olmadığında günlüğe kaydedilir. Bu hata günlüğe kaydedilirse, Windows istemcisi otomatik olarak kullanıcı hesabı için NTLM kimlik doğrulamasına geri dönmeye çalışır. Bu işlem işe yararsa hata alma.