Как включить ведение журнала событий Kerberos

В этой статье описывается, как включить ведение журнала событий Kerberos.

Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 версии 1809 и более поздних версий, Windows 7 Пакет обновления 1
Исходный номер КБ: 262177

Аннотация

Windows 7 Пакет обновления 1, Windows Server 2012 R2 и более поздних версий предоставляют возможность трассить подробные события Kerberos через журнал событий. Эти сведения можно использовать при устранении неполадок Kerberos.

Изменение уровня ведения журнала приведет к регистрации всех ошибок Kerberos в событии. В протоколе Kerberos ожидается ряд ошибок, основанных на спецификации протокола. В результате включение ведения журнала Kerberos может создавать события, содержащие ожидаемые ошибки ложного срабатывания, даже если нет операционных ошибок Kerberos.

Примеры ошибок ложного срабатываирования:

KDC_ERR_PREAUTH_REQUIRED возвращается по первоначальному запросу Kerberos AS. По умолчанию клиент Windows Kerberos не включит данные предварительной проверки подлинности в этот первый запрос. Ответ содержит сведения о поддерживаемых типах шифрования в KDC, а в случае AES — о солях, которые будут использоваться для шифрования хеш-кодов паролей.

Рекомендация: всегда игнорируйте этот код ошибки.

KDC_ERR_S_BADOPTION используется клиентом Kerberos для получения билетов с определенным набором параметров, например с определенными флагами делегирования. Если запрашиваемая возможность делегирования не является возможной, возвращается ошибка. Затем клиент Kerberos попытается получить запрашиваемую заявку с помощью других флагов, которые могут быть успешными.

Рекомендация: если не возникла проблема делегирования, игнорируйте эту ошибку.

KDC_ERR_S_PRINCIPAL_UNKNOWN регистрируются в журнале для различных проблем, связанных с взаимодействием клиента приложения и сервера. Причиной может быть:

• Отсутствуют или дублируются SPNs, зарегистрированные в AD.
• Неправильные имена серверов или DNS-суффиксы, используемые клиентом, например, клиент использует записи DNS CNAME и использует итоговую запись A в SPN.
• Использование имен серверов без FQDN, которые необходимо разрешить за пределами леса AD.

Рекомендация: изучение использования имен серверов приложениями. Скорее всего, это проблема с конфигурацией клиента или сервера.

KRB_AP_ERR_MODIFIED регистрируется, когда spN занося в неправильную учетную запись, не совпадая с учетной записью, с помощью которая запущена на сервере. Вторая распространенная проблема заключается в том, что пароль между KDC, выдаваемым билетом, и сервером, на который размещена служба, не синхронизирован.

Рекомендация. Как и KDC_ERR_S_PRINCIPAL_UNKNOWN, проверьте правильность задаваемой spN.

Другие сценарии или ошибки требуют внимания системных администраторов или администраторов домена.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в сведениях о том, как создать и восстановить реестр в Windows.

Включить ведение журнала событий Kerberos на определенном компьютере

Откройте редактор реестра.

Добавьте следующее значение реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Значение реестра: LogLevel
Тип значения: REG_DWORD
Значение: 0x1

Если подмайка Parameters не существует, создайте его.

Удалите это значение реестра, если оно больше не требуется, чтобы не ухудшить производительность на компьютере. Кроме того, это значение реестра можно удалить, чтобы отключить ведение журнала событий Kerberos на определенном компьютере.

Закройте редактор реестра. Этот параметр начнет действовать сразу в Windows Server 2012 R2, Windows 7 и более поздних версиях.

В системном журнале можно найти любые события, связанные с Kerberos.

Дополнительные сведения

Ведение журнала событий Kerberos предназначено только для устранения неполадок, если ожидается дополнительная информация для клиента Kerberos в определенный период действия. При переустанавливлении ведение журнала kerberos должно быть отключено, если устранение неполадок не активно.

С общей точки зрения вы можете получить дополнительные ошибки, которые правильно обрабатываются клиентом-принимающим клиентом без вмешательства пользователя или администратора. Переустанавлившиеся ошибки, захваченные в журнале Kerberos, не отражают серьезной проблемы, которую необходимо решить или даже можно решить.

Например, журнал событий 3 об ошибке Kerberos с кодом ошибки 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN for Server Name cifs/ будет регистрироваться при доступе к совместному доступу с IP-адресом сервера без имени сервера. Если эта ошибка зарегистрирована, клиент Windows автоматически пытается вернуться к проверке подлинности NTLM для учетной записи пользователя. Если эта операция работает, ошибка не будет.

Событие KDC с ИД 16 или 27 регистрируется в журнале, если ДЕЗ для Kerberos отключен

В этой статье описывается, как включить шифрование DES для проверки подлинности Kerberos в Windows 7 и Windows Server 2008 R2.

Исходная версия продукта: Windows 7 Пакет обновления 1, Windows Server 2008 R2 Пакет обновления 1
Исходный номер КБ: 977321

Аннотация

Начиная с Windows 7, Windows Server 2008 R2 и всех последующих операционных систем Windows шифрование стандарта шифрования данных (DES) для проверки подлинности Kerberos отключено. В этой статье описываются различные сценарии, в которых могут происходить следующие события в журналах приложений, безопасности и системы, так как шифрование DES отключено:

Кроме того, в этой статье объясняется, как включить шифрование DES для проверки подлинности Kerberos в Windows 7 и Windows Server 2008 R2. Подробные сведения см. в разделах «Признаки», «Причина» и «Обходной путь» этой статьи.

Симптомы

Рассмотрим следующие сценарии:

• Служба использует учетную запись пользователя или компьютера, настроенную только для шифрования DES на компьютере под управлением Windows 7 или Windows Server 2008 R2.
• Служба использует учетную запись пользователя или компьютера, настроенную только для шифрования DES и которая находится в домене вместе с Windows Server 2008 R2 контроллерами домена.
• Клиент под управлением Windows 7 или Windows Server 2008 R2 подключается к службе с помощью учетной записи пользователя или компьютера, настроенной только для шифрования DES.
• Отношение доверия настроено только для шифрования DES и включает контроллеры домена, которые Windows Server 2008 R2.
• Приложение или служба жестко закодированы для использования только шифрования DES.

В любом из этих сценариев вы можете получать следующие события в журналах приложений, безопасности и системы вместе с источником Microsoft-Windows-Kerberos-Key-Distribution-Center:

Идентификатор	Символьное имя	Сообщение
27	KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS	При обработке запроса TGS для целевого сервера %1 у учетной записи %2 не было подходящего ключа для создания билета Kerberos (отсутствующий ключ имеет ИД %3). Запрашиваемая электронная почта была %4. Доступные электронные типы учетных записей: %5. Код события 27 — конфигурация типа шифрования KDC
16	KDCEVENT_NO_KEY_INTERSECTION_TGS	При обработке запроса TGS для целевого сервера %1 у учетной записи %2 не было подходящего ключа для создания билета Kerberos (отсутствующий ключ имеет ИД %3). Запрашиваемая электронная почта была %4. Доступные электронные типы учетных записей: %5. При изменении или сбросе пароля %6 будет создаваться подходящий ключ. ИД события 16 — целостность ключа Kerberos

Причина

По умолчанию параметры безопасности для шифрования DES для Kerberos отключены на следующих компьютерах:

• Компьютеры под управлением Windows 7
• Компьютеры, на Windows Server 2008 R2
• Контроллеры домена, на Windows Server 2008 R2

Криптографическая поддержка Kerberos существует в Windows 7 и Windows Server 2008 R2. По умолчанию Windows 7 использует следующие наборы шифров AES или RC4 для «типов шифрования» и «etypes»:

• AES256-CTS-HMAC-SHA1-96
• AES128-CTS-HMAC-SHA1-96
• RC4-HMAC

Службы, настроенные только для шифрования DES, не будут сбой, если не будут истинны следующие условия:

• Служба перенастройка для поддержки шифрования RC4 или для поддержки шифрования AES.
• Все клиентские компьютеры, все серверы и все контроллеры домена для домена учетной записи службы настроены на поддержку шифрования DES.

По умолчанию Windows 7 и Windows Server 2008 R2 поддерживают следующие наборы шифров: набор шифров DES-CBC-MD5 и набор шифров DES-CBC-CRC можно включить в Windows 7 при необходимости.

Обходной путь

Мы настоятельно рекомендуем проверить, требуется ли шифрование DES в среде или требуется ли для определенных служб только шифрование DES. Проверьте, может ли служба использовать шифрование RC4 или AES, или проверьте, есть ли у поставщика альтернатива проверке подлинности с более сильной криптографией.

Исправление 978055 необходимо для контроллеров домена на Windows Server 2008 R2 для правильной обработки сведений о типах шифрования, реплицируемых с контроллеров домена под управлением Windows Server 2003. Дополнительные сведения см. ниже.

Определите, жестко ли закодировать приложение для использования только шифрования DES. Но он отключен по умолчанию на клиентах под управлением Windows 7 или в центрах распространения ключей (KDC).

Чтобы проверить, затронуты ли вы этой проблемой, соберйте некоторые сетевые трассировки, а затем проверьте трассировки, похожие на следующие примеры трассировок:

Frame 1 KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/ .

Frame 2 KerberosV5 KerberosV5:KRB_ERROR — KDC_ERR_ETYPE_NOSUPP (14)

0.000000 KerberosV5 KerberosV5:TGS Request Realm: Sname: HTTP/ .
-Etype:
+SequenceOfHeader:
+EType: aes256-cts-hmac-sha1-96 (18)
+EType: aes128-cts-hmac-sha1-96 (17)
+EType: rc4-hmac (23)
+EType: rc4-hmac-exp (24)
+EType: rc4 hmac old exp (0xff79)
+TagA:
+EncAuthorizationData:

Определите, настроена ли учетная запись пользователя или компьютера только для шифрования DES.

В оснастке «Пользователи и компьютеры Active Directory» откройте свойства учетной записи пользователя, а затем проверьте, установлены ли типы шифрования Kerberos DES для этой учетной записи на вкладке «Учетная запись».

Если вы делаете вывод, что эта проблема затрагивает вас и необходимо включить тип шифрования DES для проверки подлинности Kerberos, включите следующие групповые политики, чтобы применить тип шифрования DES ко всем компьютерам под управлением Windows 7 или Windows Server 2008 R2:

В консоли управления групповыми политиками (GPMC) найдите следующее расположение:

Конфигурация компьютера\ Параметры Windows\ Параметры безопасности\ Локальные политики\ Параметры безопасности

Щелкните, чтобы выбрать параметр «Сетовая безопасность: настройка типов шифрования, разрешенных для параметра Kerberos».

Щелкните, чтобы выбрать «Определить эти параметры политики и все шесть флажков для типов шифрования».

Нажмите кнопку ОК. Закроем GPMC.

Политика устанавливает для SupportedEncryptionTypes записи реестра значение 0x7FFFFFFF. Запись SupportedEncryptionTypes реестра находится в следующем расположении:

В зависимости от сценария может потребоваться установить эту политику на уровне домена, чтобы применить тип шифрования DES для всех клиентов под управлением Windows 7 или Windows Server 2008 R2. Или вам может потребоваться установить эту политику в подразделении (OU) контроллера домена для контроллеров домена, которые Windows Server 2008 R2.

Дополнительные сведения

Проблемы совместимости приложений только с des встречаются в следующих двух конфигурациях:

• Вызываемая программа жестко закодирована только для шифрования DES.
• Учетная запись, которая запускает службу, настроена на использование только шифрования DES.

Для работы проверки подлинности Kerberos должны быть выполнены следующие условия шифрования:

1. Существует общий тип между клиентом и контроллером домена для средства проверки подлинности на клиенте.
2. Существует общий тип между контроллером домена и сервером ресурсов для шифрования билета.
3. Между клиентом и сервером ресурсов для ключа сеанса существует общий тип.

Рассмотрим следующую ситуацию:

Role	ОС	Поддерживаемый уровень шифрования для Kerberos
DC	Windows Server 2003	RC4 и DES
Клиент	Windows 7	AES и RC4
Сервер ресурсов	J2EE	DES

В этой ситуации критерий 1 удовлетворяется шифрованием RC4, а критерий 2 — шифрованием DES. Третий критерий не удается, так как сервер только DES и клиент не поддерживает DES.

Если в домене имеются следующие условия, на каждом Windows Server 2008 R2-контроллере домена необходимо установить Windows Server 2008 R2 978055:

• Существуют некоторые учетные записи пользователей или компьютеров с поддержкой DES.
• В том же домене есть один или несколько контроллеров домена под управлением Windows 2000 Server, Windows Server 2003 или Windows Server 2003 R2.

• Исправление 978055 необходимо для контроллеров домена на Windows Server 2008 R2 для правильной обработки сведений о типе шифрования, реплицируемых с контроллеров домена под управлением Windows Server 2003.
• Контроллеры домена на основе Windows Server 2008 не требуют этого обновления.
• Это обновление не требуется, если в домене есть только контроллеры домена на основе Windows Server 2008.

Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

Исправление 978055: учетные записи пользователей, которые используют шифрование DES для типов проверки подлинности Kerberos, не могут быть аутентификацией в домене Windows Server 2003 после присоединить контроллер домена Windows Server 2008 R2 к домену