Kerberos イベント ログを有効にする方法

この記事では、Kerberos イベント ログを有効にする方法について説明します。

適用対象:  WindowsServer 2019、Windows Server 2016、Windows Server 2012 R2、Windows 10 Version 1809以降のバージョン、Windows 7 Service Pack 1
元の KB 番号:   262177

概要

Windows 7 Service Pack 1、Windows Server 2012 R2 以降のバージョンでは、イベント ログを使用して詳細な Kerberos イベントをトレースできます。 Kerberos のトラブルシューティングでは、この情報を使用できます。

重要

ログ レベルの変更により、すべての Kerberos エラーがイベントに記録されます。 Kerberos プロトコルでは、プロトコルの仕様に基づいて一部のエラーが発生する可能性があります。 その結果、Kerberos ログを有効にすると、Kerberos 操作エラーがない場合でも、予期される誤検知エラーを含むイベントが生成される可能性があります。

誤検知エラーの例を次に示します。

  1. KDC_ERR_PREAUTH_REQUIRED Kerberos AS 要求で返されます。 既定では、Kerberos クライアントWindows、この最初の要求に事前認証情報は含めされません。 応答には、KDC でサポートされている暗号化の種類に関する情報が含まれているので、AES の場合は、パスワード ハッシュの暗号化に使用する塩が含まれる。

    推奨事項: このエラー コードは常に無視してください。

  2. KDC_ERR_S_BADOPTION Kerberos クライアントは、特定の委任フラグなど、特定のオプションが設定されたチケットを取得するために使用されます。 要求された委任の種類が使用できない場合は、返されるエラーです。 その後、Kerberos クライアントは他のフラグを使用して要求されたチケットを取得しようとします。これは成功する可能性があります。

    推奨事項: 委任の問題をトラブルシューティングする場合をしない限り、このエラーは無視してください。

  3. KDC_ERR_S_PRINCIPAL_UNKNOWNクライアントとサーバーの連絡に関するさまざまな問題についてログに記録される場合があります。 原因は次の場合があります。

    • ユーザーに登録されている SPN が見つからないか、重複AD。
    • クライアントが使用するサーバー名または DNS サフィックスが正しくありません 。たとえば、クライアントが DNS CNAME レコードを追いかけると、SPN で結果の A レコードが使用されます。
    • フォレストの境界を越えて解決する必要がある FQDN 以外のAD使用します。

    推奨事項: アプリケーションによるサーバー名の使用を調査します。 最も可能性の高いクライアントまたはサーバー構成の問題です。

  4. KRB_AP_ERR_MODIFIEDアカウントで SPN が設定されている場合、サーバーが実行しているアカウントと一致しない場合はログに記録されます。 2 つ目の一般的な問題は、チケットを発行する KDC とサービスをホストしているサーバーの間のパスワードが同期しなかからである点です。

    推奨事項: [オプション] とKDC_ERR_S_PRINCIPAL_UNKNOWN、SPN が正しく設定されているかどうかを確認します。

その他のシナリオやエラーには、システム管理者またはドメイン管理者の注意が必要です。

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳細については、「レジストリをバックアップおよび復元する方法」を参照Windows。

特定のコンピューターで Kerberos イベント ログを有効にする

  1. レジストリ エディターを起動します。

  2. 次のレジストリ値を追加します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    レジストリ値: LogLevel
    値の種類: REG_DWORD
    値データ: 0x1

    Parameters サブ キーが 存在しない場合は、作成します。

    注意

    コンピューターでパフォーマンスが低下しなくなった場合は、このレジストリ値を削除します。 また、このレジストリ値を削除して、特定のコンピューターで Kerberos イベント ログを無効にすることもできます。

  3. レジストリ エディターを終了します。 この設定は、R2、Windows Server 2012 7 以降Windowsですぐに有効になります。

  4. Kerberos 関連のイベントは、システム ログで確認できます。

詳細

Kerberos イベント ログは、定義されたアクション期間に Kerberos クライアント側の追加情報が必要な場合のトラブルシューティングのみを目的とします。 トラブルシューティングがアクティブではない場合は、kerberos ログを無効にする必要があります。

一般的な観点から、ユーザーまたは管理者の介入なしに受信クライアントによって正しく処理される追加のエラーが表示される場合があります。 もう一度、Kerberos ログによってキャプチャされる一部のエラーは、解決する必要がある重大な問題を反映しないか、解決できる場合もあります。

たとえば、サーバー名 cifs/<IP アドレス> のエラー コード 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN を持つ Kerberos エラーに関するイベント ログ 3 は、サーバー IP アドレスとサーバー名に対して共有アクセスが行われたときにログに記録されます。 このエラーがログに記録された場合、Windowsクライアントは自動的にユーザー アカウントの NTLM 認証に戻ろうとします。 この操作が機能する場合は、エラーは表示されない。