Назад | Перейти на главную страницу

Как включить ведение журнала для Kerberos в Windows 2012 R21

Как включить И просматривать журналы запросов Kerberos на Windows server 2012?

У меня IIS 8.5 работает на Windows server 2012 R2. Я хочу видеть сообщения об успехах и сбоях, относящиеся к Kerberos (как и в других / более ранних версиях Windows).

Я включил этот ключ: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ Kerberos \ Parameters (LogLevel = 1) (и перезагрузился)

IIS настроен на проверку подлинности Windows с включенным только «Согласование» в разделе «Поставщики».

Я не вижу событий аудита успеха в журнале безопасности, когда I Kerberos успешно работает. Я не очень много вижу в том, что касается ведения журналов Kerberos. Я вижу случайную ошибку в журнале системных событий, но ничего больше.

Можно ли собирать и просматривать события Kerberos в Windows 2012 R2? Если да, то как?

У вас правильная запись в реестре. Вам даже не нужно перезагружаться.

Если LogLevel установлен на любое ненулевое значение, тогда все Kerberos ошибки будет авторизован в Система Журнал событий. «Успехи» Kerberos не регистрируются таким же образом. (Ошибки Kerberos - это такие вещи, как AP_ERR_MODIFIED, PRINCIPAL_UNKNOWN, и т.д.)

В LogLevel настройка не влияет на то, что отображается в Безопасность однако журнал событий.

Так всегда было. Server 2012 R2 в этом отношении не отличается.

С другой стороны, если вы ожидаете увидеть более подробные события «Audit Success» и «Audit Failure» для активности тикетов Kerberos в журнале событий безопасности, которые вы в настоящее время не видите, вам необходимо настроить свой Политика расширенного аудита... но Я считаю, что большинство этих событий регистрируются только на KDC / контроллерах домена. (Например.)

Есть несколько различных подкатегорий для ведения журнала. Ты должен бежать auditpol /list /subcategory:* чтобы увидеть их всех. Чтобы увидеть настроенные значения, запустите auditpol /get /Category:*.

У нас возникли проблемы с поиском событий с кодом 4768 (билет Kerberos), но, пройдя через политики таким образом, мы включили правильную политику, чтобы они снова отображались в журналах безопасности.