So aktivieren Sie die Kerberos-Ereignisprotokollierung

In diesem Artikel wird beschrieben, wie Sie die Kerberos-Ereignisprotokollierung aktivieren.

Gilt für:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, Version 1809 und höher, Windows 7 Service Pack 1
Ursprüngliche KB-Nummer:   262177

Zusammenfassung

Windows 7 Service Pack 1, Windows Server 2012 R2 und höher bieten die Möglichkeit, detaillierte Kerberos-Ereignisse über das Ereignisprotokoll nachzuverfolgen. Sie können diese Informationen bei der Problembehandlung für Kerberos verwenden.

Wichtig

Die Änderung der Protokollierungsstufe führt dazu, dass alle Kerberos-Fehler in einem Ereignis protokolliert werden. Im Kerberos-Protokoll werden einige Fehler basierend auf der Protokollspezifikation erwartet. Daher kann die Aktivierung der Kerberos-Protokollierung Ereignisse mit erwarteten falsch positiven Fehlern generieren, auch wenn keine Kerberos-Betriebsfehler vorhanden sind.

Beispiele für falsch positive Fehler sind:

  1. KDC_ERR_PREAUTH_REQUIRED wird bei der anfänglichen Kerberos AS-Anforderung zurückgegeben. Standardmäßig schließt der Windows Kerberos-Client in dieser ersten Anforderung keine Informationen zur Vorauthentifizierung ein. Die Antwort enthält Informationen zu den unterstützten Verschlüsselungstypen auf dem KDC und im Fall von AES die Salts, die zum Verschlüsseln der Kennworthashes verwendet werden sollen.

    Empfehlung: Ignorieren Sie diesen Fehlercode immer.

  2. KDC_ERR_S_BADOPTION wird vom Kerberos-Client verwendet, um Tickets mit bestimmten festgelegten Optionen abzurufen, z. B. mit bestimmten Delegierungsflags. Wenn der angeforderte Delegierungstyp nicht möglich ist, wird dieser Fehler zurückgegeben. Der Kerberos-Client würde dann versuchen, die angeforderten Tickets mit anderen Flags abzurufen, was möglicherweise erfolgreich war.

    Empfehlung: Ignorieren Sie diesen Fehler, es sei denn, Sie haben Probleme beim Ausführen eines Delegierungsproblems.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN werden möglicherweise für eine Vielzahl von Problemen mit dem Anwendungsclient und der Serververbindung protokolliert. Die Ursache kann sein:

    • Fehlende oder doppelte SPNs, die in AD registriert sind.
    • Falsche Servernamen oder vom Client verwendete DNS-Suffixe, z. B. verfolgt der Client DNS-CNAME-Einträge und verwendet den resultierenden A-Eintrag in SPNs.
    • Verwenden von Nicht-FQDN-Servernamen, die über AD-Gesamtstrukturgrenzen hinweg aufgelöst werden müssen.

    Empfehlung: Untersuchen Sie die Verwendung von Servernamen durch die Anwendungen. Es handelt sich höchstwahrscheinlich um ein Client- oder Serverkonfigurationsproblem.

  4. KRB_AP_ERR_MODIFIED protokolliert wird, wenn ein SPN für ein falsches Konto festgelegt ist und nicht mit dem Konto übereinstimmt, mit dem der Server ausgeführt wird. Das zweite häufige Problem besteht darin, dass das Kennwort zwischen dem KDC, der das Ticket ausgibt, und dem Server, auf dem der Dienst gehostet wird, nicht synchron ist.

    Empfehlung: Überprüfen Sie ähnlich wie KDC_ERR_S_PRINCIPAL_UNKNOWN, ob der SPN richtig festgelegt ist.

Andere Szenarien oder Fehler erfordern die Aufmerksamkeit der System- oder Domänenadministratoren.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Aktivieren der Kerberos-Ereignisprotokollierung auf einem bestimmten Computer

  1. Starten Sie den Registrierungs-Editor.

  2. Fügen Sie den folgenden Registrierungswert hinzu:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Registrierungswert: LogLevel
    Werttyp: REG_DWORD
    Wertdaten: 0x1

    Wenn der Unterschlüssel "Parameters" nicht vorhanden ist, erstellen Sie ihn.

    Hinweis

    Entfernen Sie diesen Registrierungswert, wenn er nicht mehr benötigt wird, damit die Leistung auf dem Computer nicht beeinträchtigt wird. Sie können diesen Registrierungswert auch entfernen, um die Kerberos-Ereignisprotokollierung auf einem bestimmten Computer zu deaktivieren.

  3. Schließen Sie den Registrierungs-Editor. Die Einstellung wird ab Windows Server 2012 Versionen R2, Windows 7 und höher sofort wirksam.

  4. Sie finden alle Kerberos-bezogenen Ereignisse im Systemprotokoll.

Weitere Informationen

Die Kerberos-Ereignisprotokollierung dient nur zur Problembehandlung, wenn Sie zusätzliche Informationen für die Kerberos-Clientseite in einem definierten Aktionszeitraum erwarten. Die Kerberos-Protokollierung sollte bei nicht aktiver Problembehandlung deaktiviert werden.

Aus allgemeiner Sicht erhalten Sie möglicherweise zusätzliche Fehler, die vom empfangenden Client ohne Benutzer- oder Administratoreingriff ordnungsgemäß behandelt werden. Einige von der Kerberos-Protokollierung erfasste Fehler spiegeln kein schwerwiegendes Problem wider, das gelöst werden muss oder sogar behoben werden kann.

Beispielsweise wird ein Ereignisprotokoll 3 zu einem Kerberos-Fehler mit dem Fehlercode 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN für servername cifs/<IP-Adresse> protokolliert, wenn ein Freigabezugriff für eine Server-IP-Adresse und kein Servername erfolgt. Wenn dieser Fehler protokolliert wird, versucht der Windows Client automatisch, die NTLM-Authentifizierung für das Benutzerkonto rückgängig zu machen. Wenn dieser Vorgang funktioniert, erhalten Sie keinen Fehler.