Kerberos イベント ログを有効にする方法

元の KB 番号: 262177

まとめ

Kerberos のトラブルシューティングを行うときは、イベント ログの詳細な Kerberos ログを有効にすることができます。 Kerberos ログは、コンピューターのパフォーマンスに影響を与え、大量のログ データを生成する可能性があります。 そのため、既定ではオフになっています。 Kerberos の問題のトラブルシューティングに必要な場合にのみ有効にします。

重要

詳細な Kerberos ログは、 KDC_ERR_PREAUTH_REQUIREDなどの "予期される" エラーを示すイベントをキャプチャします。 一般的な操作中に予期されるエラーが発生し、問題は示されません。 詳細については、 一般的な Kerberos コードの例を参照してください。

コンピューターで Kerberos イベント ログを有効にする

Kerberos ログ記録を有効にするには、ログ データの記録に使用するコンピューターで次の手順を実行します。

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前にレジストリをバックアップして、問題が発生した場合にレジストリを復元できるようにします。 レジストリのバックアップと復元方法の詳細は、「Windows のレジストリのバックアップおよび復元の方法」を参照してください。

  1. レジストリ エディターを起動し、 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parametersを見つけます。 Parameters エントリが存在しない場合は、作成します。

  2. 次のレジストリ値を追加します。

    • レジストリ値: LogLevel
    • 値の種類: REG_DWORD
    • 値データ: 0x1

  3. レジストリ エディターを閉じます。 設定はすぐに有効になり、システム ログによって Kerberos イベントの記録が開始されます。

注意

詳細な Kerberos ログは、コンピューターのパフォーマンスに影響する可能性があります。 トラブルシューティングが完了したら、コンピューターからレジストリ エントリを削除します。

一般的な Kerberos コードの例

次の表に、一般的な Kerberos コードの一覧、発生する可能性がある場合、およびそれらに対する操作を示します。 これらのコードの一部は、通常の操作中に想定されており、問題が発生したことを示していない点に注意してください。 ここに記載されているコード以外のコードが表示される場合は、システムまたはドメイン管理者に問い合わせてください。

Code Context レコメンデーション
KDC_ERR_PREAUTH_REQUIRED サーバーがクライアントの最初の認証サーバー (AS) 要求への応答の一部として送信するコード。 最初の AS 要求には、サーバーに必要なすべての情報が含まれているわけではありません。 サーバーの応答は、サポートされている暗号化の種類など、サーバーが期待する情報を識別します。 サーバーが AES 暗号化を使用している場合、応答にはパスワードをハッシュする前に追加するためのソルトが含まれます。 この動作は設計によるものです。 このコードは無視します。
KDC_ERR_S_BADOPTION クライアントのチケット要求に、サーバーが応答できない、またはサポートしていないオプションまたは委任フラグが含まれている場合にサーバーが送信するコード。 通常、クライアントは、さまざまなオプションまたはフラグを使用する別の要求を自動的に送信します。 委任の問題のトラブルシューティングを行っている場合を除き、このエラーは無視してください。
KDC_ERR_S_PRINCIPAL_UNKNOWN クライアントがアクセスを要求したサービス プリンシパル名 (SPN) が認識されない場合にサーバーが送信するコード。 この問題が発生する可能性がある状況は複数あります。 通常、クライアント要求が正しくないか、アプリケーションまたはサービスが正しく構成されていません。 この問題が発生すると、クライアントは NTLM を使用して認証する要求を自動的に送信します。 NTLM 認証を許可するようにサーバーが構成されている場合、クライアントは認証を行い、ユーザーは問題に気付きません。 トラブルシューティングの詳細については、「 Kerberos でKDC_ERR_S_PRINCIPAL_UNKNOWNまたはKDC_ERR_PRINCIPAL_NOT_UNIQUE エラーが生成される」を参照してください。
KRB_AP_ERR_MODIFIED クライアントがサービス チケットの暗号化を解除できなかったことを示すコード。 複数の問題によってこのエラーが発生する可能性があるため、関連するイベントを確認してください。 トラブルシューティングの詳細については、 Kerberos 認証のトラブルシューティング ガイダンスを参照してください。
  • Last updated on