Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Numero KB originale: 262177
Riepilogo
Quando si risolvono i problemi di Kerberos, è possibile attivare la registrazione dettagliata di Kerberos per il registro degli eventi. La registrazione Kerberos può influire sulle prestazioni del computer e generare una quantità significativa di dati di log. Di conseguenza, è disattivato per impostazione predefinita. Abilitarlo solo se è necessario per risolvere i problemi di Kerberos.
Importante
La registrazione Kerberos dettagliata acquisisce eventi che indicano errori "previsti", ad esempio KDC_ERR_PREAUTH_REQUIRED. Gli errori previsti si verificano durante le operazioni tipiche e non indicano problemi. Per altre informazioni, vedere Esempi di codici Kerberos comuni.
Abilitare la registrazione eventi Kerberos in un computer
Per abilitare la registrazione Kerberos, seguire questa procedura nel computer che si vuole usare per registrare i dati di log.
Importante
In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Al fine di protezione, eseguire il backup del registro di sistema prima di modificarlo, in modo da poterlo ripristinare in caso di problemi. Per ulteriori informazioni su come eseguire il backup e ripristinare il registro, consulta Come eseguire il backup e ripristinare il registro in Windows.
Avviare l'editor del Registro di sistema e individuare
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters. Se l'elementoParametersnon esiste, crealo.Aggiungere il seguente valore del Registro di sistema:
- Valore del Registro:
LogLevel - Tipo di valore: REG_DWORD
- Valore dei dati:
0x1
- Valore del Registro:
Chiudere l'Editor del Registro di sistema. L'impostazione diventa effettiva immediatamente e il log di sistema avvia la registrazione degli eventi Kerberos.
Note
La registrazione Kerberos dettagliata potrebbe influire sulle prestazioni del computer. Al termine della risoluzione dei problemi, rimuovere la voce del Registro di sistema dal computer.
Esempi di codici Kerberos comuni
Nella tabella seguente sono elencati i codici Kerberos comuni, quando possono verificarsi e cosa fare su di essi. Si noti che alcuni di questi codici sono previsti durante le normali operazioni e non indicano che si è verificato un problema. Se vengono visualizzati codici diversi dai codici elencati qui, contattare il sistema o l'amministratore di dominio.
| Codice | Context | Raccomandazione |
|---|---|---|
KDC_ERR_PREAUTH_REQUIRED |
Codice inviato dal server come parte della risposta alla prima richiesta di autenticazione server (AS) del client. La prima richiesta AS non include tutte le informazioni necessarie per il server. La risposta del server identifica le informazioni previste dal server, ad esempio i tipi di crittografia supportati. Se il server usa la crittografia AES, la risposta include i salt da aggiungere alla password prima dell'hashing. | Questo comportamento è predefinito. Ignorare questo codice. |
KDC_ERR_S_BADOPTION |
Codice inviato dal server se la richiesta di ticket del client include opzioni o flag di delega che il server non può rispondere o non supporta. In genere, il client invia automaticamente un'altra richiesta che usa opzioni o flag diversi. | A meno che non si stia risolvendo un problema di delega, ignorare questo errore. |
KDC_ERR_S_PRINCIPAL_UNKNOWN |
Codice inviato dal server se non riconosce il nome dell'entità servizio (SPN) a cui un client ha richiesto l'accesso. Esistono più situazioni in cui questo problema può verificarsi. In genere, la richiesta client non è corretta oppure l'applicazione o il servizio non è configurato correttamente. Quando si verifica questo problema, il client invia automaticamente una richiesta di autenticazione tramite NTLM. Se il server è configurato per consentire l'autenticazione NTLM, il client esegue l'autenticazione e l'utente non rileva il problema. | Per informazioni dettagliate sulla risoluzione dei problemi, consultare Kerberos genera l'errore KDC_ERR_S_PRINCIPAL_UNKNOWN o KDC_ERR_PRINCIPAL_NOT_UNIQUE. |
KRB_AP_ERR_MODIFIED |
Codice che indica che il client non è riuscito a decrittografare il ticket di servizio. Poiché più di un problema può causare questo errore, verificare la presenza di eventi correlati. | Per informazioni dettagliate sulla risoluzione dei problemi, vedere Linee guida per la risoluzione dei problemi di autenticazione Kerberos. |