Как включить И просматривать журналы запросов Kerberos на Windows server 2012?
У меня IIS 8.5 работает на Windows server 2012 R2. Я хочу видеть сообщения об успехах и сбоях, относящиеся к Kerberos (как и в других / более ранних версиях Windows).
Я включил этот ключ: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ Kerberos \ Parameters (LogLevel = 1) (и перезагрузился)
IIS настроен на проверку подлинности Windows с включенным только «Согласование» в разделе «Поставщики».
Я не вижу событий аудита успеха в журнале безопасности, когда I Kerberos успешно работает. Я не очень много вижу в том, что касается ведения журналов Kerberos. Я вижу случайную ошибку в журнале системных событий, но ничего больше.
Можно ли собирать и просматривать события Kerberos в Windows 2012 R2? Если да, то как?
У вас правильная запись в реестре. Вам даже не нужно перезагружаться.
Если LogLevel
установлен на любое ненулевое значение, тогда все Kerberos ошибки будет авторизован в Система Журнал событий. «Успехи» Kerberos не регистрируются таким же образом. (Ошибки Kerberos - это такие вещи, как AP_ERR_MODIFIED
, PRINCIPAL_UNKNOWN
, и т.д.)
В LogLevel
настройка не влияет на то, что отображается в Безопасность однако журнал событий.
Так всегда было. Server 2012 R2 в этом отношении не отличается.
С другой стороны, если вы ожидаете увидеть более подробные события «Audit Success» и «Audit Failure» для активности тикетов Kerberos в журнале событий безопасности, которые вы в настоящее время не видите, вам необходимо настроить свой Политика расширенного аудита... но Я считаю, что большинство этих событий регистрируются только на KDC / контроллерах домена. (Например.)
Есть несколько различных подкатегорий для ведения журнала. Ты должен бежать auditpol /list /subcategory:*
чтобы увидеть их всех. Чтобы увидеть настроенные значения, запустите auditpol /get /Category:*
.
У нас возникли проблемы с поиском событий с кодом 4768 (билет Kerberos), но, пройдя через политики таким образом, мы включили правильную политику, чтобы они снова отображались в журналах безопасности.