Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Número de KB original: 262177
Resumen
Al solucionar problemas de Kerberos, puede activar el registro detallado de Kerberos para el registro de eventos. El registro kerberos puede afectar al rendimiento del equipo y generar una cantidad significativa de datos de registro. Por lo tanto, está desactivado de forma predeterminada. Habilite solo si lo necesita para solucionar problemas de Kerberos.
Importante
El registro detallado de Kerberos captura eventos que indican errores "esperados", como KDC_ERR_PREAUTH_REQUIRED. Los errores esperados se producen durante las operaciones típicas y no indican problemas. Para obtener más información, vea Ejemplos de códigos Kerberos comunes.
Habilitación del registro de eventos Kerberos en un equipo
Para habilitar el registro kerberos, siga estos pasos en el equipo que desea usar para registrar los datos de registro.
Importante
Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Como medida de protección, haga una copia de seguridad del registro antes de modificarlo para poder restaurarlo si se produce algún problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.
Inicie el Editor del Registro y busque
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters. Si laParametersentrada no existe, créela.Añada el siguiente valor de registro:
- Valor del Registro:
LogLevel - Tipo de valor: REG_DWORD
- Datos de valor:
0x1
- Valor del Registro:
Cierre el Editor del Registro. La configuración surte efecto inmediatamente y el registro del sistema inicia la grabación de eventos Kerberos.
Nota:
El registro detallado de Kerberos puede afectar al rendimiento del equipo. Cuando termine de solucionar problemas, quite la entrada del Registro del equipo.
Ejemplos de códigos Kerberos comunes
En la tabla siguiente se enumeran los códigos Kerberos comunes, cuándo pueden producirse y qué hacer sobre ellos. Tenga en cuenta que algunos de estos códigos se esperan durante las operaciones regulares y no indican que se ha producido un problema. Si ve códigos distintos de los códigos que aparecen aquí, póngase en contacto con el administrador del sistema o del dominio.
| Code | Context | Recomendación |
|---|---|---|
KDC_ERR_PREAUTH_REQUIRED |
Código que el servidor envía como parte de su respuesta a la primera solicitud del servidor de autenticación (AS) del cliente. La primera solicitud as no incluye toda la información que necesita el servidor. La respuesta del servidor identifica la información que espera el servidor, como los tipos de cifrado admitidos. Si el servidor usa el cifrado AES, la respuesta incluye las sales que se van a agregar a la contraseña antes de aplicar un hash. | Este comportamiento es así por diseño. Omita este código. |
KDC_ERR_S_BADOPTION |
Código que el servidor envía si la solicitud de ticket del cliente incluye opciones o banderas de delegación a las que el servidor no puede responder o no admite. Normalmente, el cliente envía automáticamente otra solicitud que usa diferentes opciones o marcas. | A menos que esté solucionando un problema de delegación, omita este error. |
KDC_ERR_S_PRINCIPAL_UNKNOWN |
Código que envía el servidor si no reconoce el nombre principal de servicio (SPN) que un cliente ha solicitado. Hay varias situaciones en las que puede producirse este problema. Normalmente, la solicitud de cliente es incorrecta o la aplicación o el servicio no están configurados correctamente. Cuando se produce este problema, el cliente envía automáticamente una solicitud para autenticarse mediante NTLM. Si el servidor está configurado para permitir la autenticación NTLM, el cliente se autentica y el usuario no observa el problema. | Para obtener información detallada sobre la solución de problemas, consulte Kerberos genera KDC_ERR_S_PRINCIPAL_UNKNOWN o KDC_ERR_PRINCIPAL_NOT_UNIQUE error. |
KRB_AP_ERR_MODIFIED |
Código que indica que el cliente no pudo descifrar el vale de servicio. Dado que más de un problema puede provocar este error, compruebe si hay eventos relacionados. | Para obtener información detallada sobre la solución de problemas, consulte guía de solución de problemas de autenticación Kerberos. |