Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Número original do KB: 262177
Resumo
Ao diagnosticar problemas com o Kerberos, você pode habilitar o registro detalhado do Kerberos para o log de eventos. O registro do Kerberos pode afetar o desempenho do computador e gerar uma quantidade significativa de dados de registro. Portanto, ele está desativado por padrão. Habilite-o somente se você precisar dele para solucionar problemas do Kerberos.
Importante
O log detalhado do Kerberos captura eventos que indicam erros "esperados", como KDC_ERR_PREAUTH_REQUIRED. Erros esperados ocorrem durante operações típicas e não indicam problemas. Para obter mais informações, consulte exemplos de códigos Kerberos comuns.
Habilitar o log de eventos Kerberos em um computador
Para habilitar o registro em log do Kerberos, siga estas etapas no computador que você deseja usar para gravar dados de log.
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para maior proteção, faça backup do Registro antes de modificar, para poder restaurar se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, consulte Como fazer backup e restaurar o registro no Windows.
Inicie o Editor do Registro e localize
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters. Se a entradaParametersnão existir, crie-a.Adicione o seguinte valor do Registro:
- Valor de registro:
LogLevel - Tipo de valor: REG_DWORD
- Dados de valor:
0x1
- Valor de registro:
Feche o Editor do Registro. A configuração entra em vigor imediatamente e o log do sistema inicia a gravação de eventos Kerberos.
Observação
O log detalhado do Kerberos pode afetar o desempenho do computador. Ao concluir a solução de problemas, remova a entrada do Registro do computador.
Exemplos de códigos Kerberos comuns
A tabela a seguir lista códigos Kerberos comuns, quando eles podem ocorrer e o que fazer sobre eles. Observe que alguns desses códigos são esperados durante operações regulares e não indicam que ocorreu um problema. Se você vir códigos diferentes dos códigos listados aqui, entre em contato com seu sistema ou administrador de domínio.
| Code | Contexto | Recomendação |
|---|---|---|
KDC_ERR_PREAUTH_REQUIRED |
Código que o servidor envia como parte de sua resposta à primeira solicitação de Autenticação do Servidor (AS) do cliente. A primeira solicitação AS não inclui todas as informações de que o servidor precisa. A resposta do servidor identifica as informações esperadas pelo servidor, como tipos de criptografia com suporte. Se o servidor usar a criptografia AES, a resposta incluirá os sais que devem ser adicionados à senha antes de ser transformada em hash. | Esse comportamento é por design. Ignore esse código. |
KDC_ERR_S_BADOPTION |
Código que o servidor envia se a solicitação de tíquete do cliente incluiu opções ou sinalizadores de delegação aos quais o servidor não pode responder ou não dá suporte. Normalmente, o cliente envia automaticamente outra solicitação que usa diferentes opções ou sinalizadores. | A menos que você esteja solucionando um problema de delegação, ignore esse erro. |
KDC_ERR_S_PRINCIPAL_UNKNOWN |
Código que o servidor envia se ele não reconhecer o SPN (nome da entidade de serviço) ao qual um cliente solicitou acesso. Há várias situações em que esse problema pode ocorrer. Normalmente, a solicitação do cliente está incorreta ou o aplicativo ou o serviço não está configurado corretamente. Quando esse problema ocorre, o cliente envia automaticamente uma solicitação para autenticação usando o NTLM. Se o servidor estiver configurado para permitir a autenticação NTLM, o cliente será autenticado e o usuário não perceberá o problema. | Para obter informações detalhadas de solução de problemas, consulte o erro KDC_ERR_S_PRINCIPAL_UNKNOWN ou KDC_ERR_PRINCIPAL_NOT_UNIQUE ocasionado pelo Kerberos. |
KRB_AP_ERR_MODIFIED |
Código que indica que o cliente não pôde descriptografar o tíquete de serviço. Como mais de um problema pode causar esse erro, verifique se há eventos relacionados. | Para obter informações detalhadas sobre solução de problemas, consulte as diretrizes de solução de problemas de autenticação Kerberos. |