Condividi tramite

Come abilitare la registrazione eventi Kerberos

  • Articolo

Questo articolo descrive come abilitare la registrazione eventi Kerberos.

Numero KB originale: 262177

Riepilogo

Windows 7 Service Pack 1, Windows Server 2012 R2 e versioni successive offrono la possibilità di tracciare eventi Kerberos dettagliati tramite il registro eventi. È possibile usare queste informazioni durante la risoluzione dei problemi relativi a Kerberos.

Importante

La modifica del livello di registrazione causerà la registrazione di tutti gli errori Kerberos in un evento. Nel protocollo Kerberos sono previsti alcuni errori in base alla specifica del protocollo. Di conseguenza, l'abilitazione della registrazione Kerberos può generare eventi contenenti errori falsi positivi previsti anche quando non sono presenti errori operativi Kerberos.

Esempi di errori falsi positivi includono:

  1. KDC_ERR_PREAUTH_REQUIRED viene restituito nella richiesta AS Kerberos iniziale. Per impostazione predefinita, il client Kerberos di Windows non include le informazioni di pre-autenticazione nella prima richiesta. La risposta contiene informazioni sui tipi di crittografia supportati nel KDC e, in caso di AES, i salt con cui crittografare gli hash delle password.

    Raccomandazione: ignorare sempre questo codice di errore.

  2. KDC_ERR_S_BADOPTION viene usato dal client Kerberos per recuperare i ticket con particolari opzioni impostate, ad esempio con determinati flag di delega. Quando il tipo di delega richiesto non è possibile, si tratta dell'errore restituito. Il client Kerberos tenterebbe quindi di ottenere i ticket richiesti usando altri flag, che potrebbero avere esito positivo.

    Raccomandazione: a meno che non si stia verificando un problema di delega, ignorare questo errore.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN possono essere registrati per una vasta gamma di problemi con il client dell'applicazione e il collegamento del server. La causa può essere:

    • Nomi SPN mancanti o duplicati registrati in AD.
    • Nomi di server non corretti o suffissi DNS usati dal client, ad esempio, il client insegue i record CNAME DNS e usa il record A risultante nei nomi SPN.
    • Uso di nomi di server non FQDN che devono essere risolti attraverso i limiti della foresta di Active Directory.

    Raccomandazione: esaminare l'uso dei nomi dei server dalle applicazioni. È molto probabile che si tratti di un problema di configurazione client o server.

  4. KRB_AP_ERR_MODIFIED viene registrato quando un nome SPN è impostato su un account non corretto, non corrisponde all'account con cui è in esecuzione il server. Il secondo problema comune è che la password tra il KDC che emette il ticket e il server che ospita il servizio non è sincronizzato.

    Raccomandazione: simile a KDC_ERR_S_PRINCIPAL_UNKNOWN, verificare se il nome SPN è impostato correttamente.

Altri scenari o errori richiedono l'attenzione degli amministratori di sistema o di dominio.

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni, vedere Come eseguire il backup e il ripristino del Registro di sistema in Windows.

Abilitare la registrazione eventi Kerberos in un computer specifico

  1. Avviare l'editor del Registro di sistema.

  2. Aggiungere il seguente valore del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Valore del Registro di sistema: LogLevel
    Tipo valore: REG_DWORD
    Dati valore: 0x1

    Se la sottochiave Parameters non esiste, crearla.

    Note

    Rimuovere questo valore del Registro di sistema quando non è più necessario in modo che le prestazioni non vengano ridotte nel computer. È anche possibile rimuovere questo valore del Registro di sistema per disabilitare la registrazione eventi Kerberos in un computer specifico.

  3. Chiudere l'editor del Registro di sistema. L'impostazione diventerà effettiva immediatamente in Windows Server 2012 R2, Windows 7 e versioni successive.

  4. È possibile trovare tutti gli eventi correlati a Kerberos nel log di sistema.

Ulteriori informazioni

La registrazione eventi Kerberos è destinata solo a scopo di risoluzione dei problemi quando si prevedono informazioni aggiuntive per il lato client Kerberos in un intervallo di tempo di azione definito. Se non si esegue attivamente la risoluzione dei problemi, la registrazione Kerberos deve essere disabilitata.

Dal punto di vista generale, è possibile che si ricevano errori aggiuntivi gestiti correttamente dal client ricevente senza l'intervento dell'utente o dell'amministratore. Restated, alcuni errori acquisiti dalla registrazione Kerberos non riflettono un problema grave che deve essere risolto o che può essere risolto.

Ad esempio, un registro eventi 3 su un errore Kerberos con il codice di errore 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN per nome server cifs/<indirizzo> IP verrà registrato quando viene eseguito un accesso alla condivisione su un indirizzo IP del server e nessun nome del server. Se questo errore viene registrato, il client Windows tenta automaticamente di eseguire il failback all'autenticazione NTLM per l'account utente. Se l'operazione funziona, non viene visualizzato alcun errore.