Como ativar o registo de eventos kerberos

Este artigo descreve como ativar o registo de eventos kerberos.

Número original da BDC: 262177

Resumo

O Windows 7 Service Pack 1, o Windows Server 2012 R2 e versões posteriores oferecem a capacidade de rastrear eventos Kerberos detalhados através do registo de eventos. Pode utilizar estas informações ao resolver problemas do Kerberos.

Importante

A alteração no nível de registo fará com que todos os erros do Kerberos sejam registados num evento. No protocolo Kerberos, são esperados alguns erros com base na especificação do protocolo. Como resultado, ativar o registo Kerberos pode gerar eventos que contenham erros falsos positivos esperados, mesmo quando não existem erros operacionais kerberos.

Exemplos de erros falsos positivos incluem:

  1. KDC_ERR_PREAUTH_REQUIRED é devolvido no pedido inicial do Kerberos AS. Por predefinição, o Cliente Kerberos do Windows não inclui informações de pré-autenticação neste primeiro pedido. A resposta contém informações sobre os tipos de encriptação suportados no KDC e, no caso da AES, os sais a utilizar para encriptar os hashes de palavras-passe.

    Recomendação: ignore sempre este código de erro.

  2. KDC_ERR_S_BADOPTION é utilizado pelo cliente Kerberos para obter pedidos com opções específicas definidas, por exemplo, com determinados sinalizadores de delegação. Quando o tipo de delegação pedido não é possível, este é o erro que é devolvido. Em seguida, o cliente Kerberos tentaria obter os pedidos de suporte através de outros sinalizadores, que podem ser bem-sucedidos.

    Recomendação: a menos que esteja a resolver um problema de delegação, ignore este erro.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN podem ser registados para uma grande variedade de problemas com o cliente da aplicação e a ligação do servidor. A causa pode ser:

    • SPNs em falta ou duplicados registados no AD.
    • Nomes de servidor incorretos ou sufixos DNS utilizados pelo cliente, por exemplo, o cliente está a perseguir registos CNAME DNS e a utilizar o registo A resultante em SPNs.
    • Utilizar nomes de servidor não FQDN que precisam de ser resolvidos entre os limites da floresta do AD.

    Recomendação: investigue a utilização de nomes de servidor pelas aplicações. É provavelmente um problema de configuração do cliente ou do servidor.

  4. KRB_AP_ERR_MODIFIED é registado quando um SPN está definido numa conta incorreta, não correspondendo à conta com a qual o servidor está a ser executado. O segundo problema comum é que a palavra-passe entre o KDC que emite a permissão e o servidor que aloja o serviço está dessincronizada.

    Recomendação: semelhante a KDC_ERR_S_PRINCIPAL_UNKNOWN, verifique se o SPN está definido corretamente.

Outros cenários ou erros requerem a atenção dos Administradores de Sistema ou Domínio.

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer uma cópia de segurança e restaurar o registo no Windows.

Ativar o registo de eventos kerberos num computador específico

  1. Inicie o Editor do Registro.

  2. Adicione o seguinte valor do Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Valor do Registo: LogLevel
    Tipo de Valor: REG_DWORD
    Dados de Valor: 0x1

    Se a subchave Parâmetros não existir, crie-a.

    Observação

    Remova este valor de registo quando já não for necessário para que o desempenho não seja degradado no computador. Além disso, pode remover este valor de registo para desativar o registo de eventos kerberos num computador específico.

  3. Saia do Editor do Registro. A definição terá efeito imediatamente no Windows Server 2012 R2, Windows 7 e versões posteriores.

  4. Pode encontrar quaisquer eventos relacionados com Kerberos no registo do sistema.

Mais informações

O registo de eventos kerberos destina-se apenas a fins de resolução de problemas quando espera informações adicionais para o lado do cliente Kerberos num período de tempo de ação definido. Restated, kerberos logging should be disabled when not actively troubleshooting.

Do ponto de vista geral, pode receber erros adicionais que são corretamente processados pelo cliente receção sem intervenção do utilizador ou do administrador. Restated, alguns erros capturados pelo registo Kerberos não refletem um problema grave que tem de ser resolvido ou até mesmo pode ser resolvido.

Por exemplo, um registo de eventos 3 sobre um erro Kerberos que tenha o código de erro 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN para cifs/<endereço> IP do Nome do Servidor será registado quando for efetuado um acesso de partilha num endereço IP do servidor e sem nome de servidor. Se este erro for registado, o cliente Windows tenta automaticamente efetuar a reativação pós-falha para a autenticação NTLM da conta de utilizador. Se esta operação funcionar, não receberá nenhum erro.