Como ativar o log para o Kerberos no Windows 2012 R21

3

Como faço para ativar e visualizar logs para solicitações do Kerberos no Windows server 2012?

Eu tenho o IIS 8.5 em execução no servidor Windows 2012 R2. Quero ver mensagens de sucesso e falha relacionadas ao Kerberos (como em outras versões anteriores do Windows).

Eu habilitei esta chave: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ Kerberos \ Parâmetros (LogLevel = 1) (e reinicializado)

O IIS está configurado para Autenticação do Windows com apenas "Negociar" ativado na seção de provedores.

Não estou vendo eventos do Success Audit no log de segurança quando o Kerberos é bem-sucedido. Eu não estou vendo muito em termos de log do Kerberos. Eu vejo um erro ocasional no log de eventos do sistema, mas nada mais.

Os eventos do Kerberos podem ser reunidos e visualizados no Windows 2012 R2? Se sim, como?

    
por cab0 10.10.2016 / 20:11

2 respostas

2

Você tem a entrada do registro correta. Você nem precisa reiniciar.

Se LogLevel estiver definido como qualquer valor diferente de zero, todos os erros do Kerberos serão registrados no log de eventos System . Kerberos "sucessos" não são registrados da mesma maneira. (Erros do Kerberos são coisas como AP_ERR_MODIFIED , PRINCIPAL_UNKNOWN , etc.)

No entanto, a configuração LogLevel não tem efeito sobre o que aparece no log de eventos Segurança .

Sempre funcionou dessa maneira. O Server 2012 R2 não é diferente a esse respeito.

Por outro lado, se você espera ver mais eventos de "Auditoria de sucesso" e "Falha de auditoria" para a atividade de tíquetes do Kerberos no seu log de eventos de segurança que você não está vendo no momento, é necessário configurar seu Política de auditoria avançada ... mas Acredito que a maioria desses eventos só é registrada em KDCs / Domain Controllers. ( Por exemplo .)

    
por 10.10.2016 / 20:24
0

Existem algumas subcategorias diferentes para o registro. Você deve executar auditpol /list /subcategory:* para ver todos eles. Para ver os valores configurados, execute auditpol /get /Category:* .

Estávamos com dificuldades para encontrar eventos do evento ID 4768 (tíquete Kerberos), mas, ao passar pelas políticas dessa forma, ativamos a política correta para que eles fossem exibidos nos registros de segurança novamente.

    
por 31.08.2018 / 21:02