Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ursprüngliche KB-Nummer: 262177
Übersicht
Bei der Problembehandlung bei Kerberos können Sie die detaillierte Kerberos-Protokollierung für das Ereignisprotokoll aktivieren. Die Kerberos-Protokollierung kann sich auf die Computerleistung auswirken und eine erhebliche Menge von Protokolldaten generieren. Daher ist sie standardmäßig deaktiviert. Aktivieren Sie sie nur, wenn sie zum Beheben von Kerberos-Problemen erforderlich ist.
Wichtig
In der detaillierten Kerberos-Protokollierung werden Ereignisse erfasst, die auf "erwartete" Fehler hinweisen, z. B. KDC_ERR_PREAUTH_REQUIRED. Erwartete Fehler treten bei typischen Vorgängen auf und geben keine Probleme an. Weitere Informationen finden Sie unter Beispiele für allgemeine Kerberos-Codes.
Aktivieren der Kerberos-Ereignisprotokollierung auf einem Computer
Führen Sie zum Aktivieren der Kerberos-Protokollierung die folgenden Schritte auf dem Computer aus, den Sie für die Aufzeichnung von Protokolldaten verwenden möchten.
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Erstellen Sie eine Sicherungskopie der Registrierung, bevor Sie Änderungen vornehmen, damit Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.
Starten Sie den Registrierungs-Editor, und suchen Sie nach
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters. Wenn derParametersEintrag nicht vorhanden ist, erstellen Sie ihn.Fügen Sie den folgenden Registrierungswert hinzu:
- Registrierungswert:
LogLevel - Werttyp: REG_DWORD
- Wertdaten:
0x1
- Registrierungswert:
Schließen Sie den Registrierungs-Editor. Die Einstellung wird sofort wirksam, und das Systemprotokoll startet die Aufzeichnung von Kerberos-Ereignissen.
Notiz
Detaillierte Kerberos-Protokollierung kann sich auf die Leistung des Computers auswirken. Wenn Sie mit der Problembehandlung fertig sind, entfernen Sie den Registrierungseintrag vom Computer.
Beispiele für allgemeine Kerberos-Codes
In der folgenden Tabelle sind allgemeine Kerberos-Codes aufgeführt, wann diese möglicherweise auftreten und was Sie in solchen Fällen tun sollten. Beachten Sie, dass einige dieser Codes während regulärer Vorgänge erwartet werden und nicht darauf hinweisen, dass ein Problem aufgetreten ist. Wenn andere Codes als die hier aufgeführten Codes angezeigt werden, wenden Sie sich an Ihren System- oder Domänenadministrator.
| Code | Kontext | Empfehlung |
|---|---|---|
KDC_ERR_PREAUTH_REQUIRED |
Code, den der Server als Teil seiner Antwort an die erste Authenticate Server (AS)-Anforderung des Clients sendet. Die erste AS-Anforderung enthält nicht alle Informationen, die der Server benötigt. Die Antwort des Servers identifiziert die Informationen, die der Server erwartet, z. B. unterstützte Verschlüsselungstypen. Wenn der Server AES-Verschlüsselung verwendet, enthält die Antwort die Salze, die dem Kennwort hinzugefügt werden sollen, bevor es hashed wird. | Dieses Verhalten ist beabsichtigt. Diesen Code ignorieren. |
KDC_ERR_S_BADOPTION |
Code, den der Server sendet, wenn die Ticketanforderung des Clients Optionen oder Delegierungskennzeichnungen enthält, auf die der Server nicht antworten kann oder nicht unterstützt. In der Regel sendet der Client automatisch eine andere Anforderung, die unterschiedliche Optionen oder Flags verwendet. | Sofern Sie kein Delegierungsproblem beheben, ignorieren Sie diesen Fehler. |
KDC_ERR_S_PRINCIPAL_UNKNOWN |
Code, den der Server sendet, wenn er den Dienstprinzipalnamen (SPN) nicht erkennt, auf den ein Client Zugriff angefordert hat. Es gibt mehrere Situationen, in denen dieses Problem auftreten kann. In der Regel ist die Clientanforderung falsch, oder die Anwendung oder der Dienst ist nicht ordnungsgemäß konfiguriert. Wenn dieses Problem auftritt, sendet der Client automatisch eine Anforderung zur Authentifizierung mithilfe von NTLM. Wenn der Server so konfiguriert ist, dass die NTLM-Authentifizierung zugelassen wird, authentifiziert sich der Client, und der Benutzer bemerkt das Problem nicht. | Ausführliche Informationen zur Problembehandlung finden Sie unter Kerberos generiert KDC_ERR_S_PRINCIPAL_UNKNOWN oder KDC_ERR_PRINCIPAL_NOT_UNIQUE Fehler. |
KRB_AP_ERR_MODIFIED |
Code, der angibt, dass der Client das Dienstticket nicht entschlüsseln konnte. Da mehr als ein Problem diesen Fehler verursachen kann, suchen Sie nach verwandten Ereignissen. | Ausführliche Informationen zur Problembehandlung finden Sie unter Anleitung zur Problembehandlung bei der Kerberos-Authentifizierung. |