Windows 2012 R21でKerberosのログを有効にする方法
Windows Server 2012でKerberosリクエストのログを有効にして表示するにはどうすればよいですか?
IIS 8.5 Windows server 2012 R2で実行しています。Kerberosに関連する成功および失敗のメッセージを確認したいと思います(他の以前のバージョンのWindowsでできるように)。
このキーを有効にしました:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters(LogLevel = 1)(そして再起動)
IISはWindows Authに設定されており、プロバイダーセクションで "Negotiate"のみが有効になっています。
Kerberosが成功した場合、セキュリティログに成功監査イベントが表示されません。ケルベロスのロギングに関しては、あまり多くは見ていません。システムイベントログに時々エラーが表示されますが、他には何もありません。
Windows 2012 R2でKerberosイベントを収集して表示できますか?もしそうなら、どうですか?
あなたは正しいレジストリエントリを持っています。再起動する必要すらありません。
LogLevelをゼロ以外に設定すると、すべてのKerberosエラーがSystemイベントログ。 Kerberosの「成功」は同じ方法で記録されません。 (KerberosエラーはAP_ERR_MODIFIED、PRINCIPAL_UNKNOWNなど)
ただし、LogLevel設定は、Securityイベントログに表示される内容には影響しません。
それは常にこのように機能してきました。 Server 2012 R2はこの点で違いはありません。
一方、現在表示されていない、セキュリティイベントログのKerberosチケットアクティビティに関するより詳細な「監査成功」および「監査失敗」イベントが表示されると予想される場合は、以下を設定する必要があります 高度な監査ポリシー ...butこれらのイベントのほとんどはKDC /ドメインコントローラーでのみログに記録されると思います。 ( 例 。)
ロギングにはいくつかの異なるサブカテゴリがあります。それらをすべて表示するには、auditpol /list /subcategory:*を実行する必要があります。構成された値を表示するには、auditpol /get /Category:*を実行します。
イベントID 4768(Kerberosチケット)イベントを見つけるのに問題がありましたが、この方法でポリシーを実行することにより、正しいポリシーを有効にして、セキュリティログに再度表示されるようにしました。