大家,早安。
过去几天,我一直在与 Microsoft 支持技术人员合作解决一个与委派和/或 Kerberos 相关的问题。该域在 2003 混合模式操作级别下运行,两个域控制器都使用安装了 SP2 的 Windows Server 2003。
有问题的成员服务器是已添加到域中的唯一 Windows Server 2008 R2 服务器。在 IIS 中处理 HTTP 请求时会遇到此问题。请求引用了同一服务器上不同 IIS 应用程序池中托管的资源;从一个 w3wp 跳转到另一个 w3wp。但第一个应用程序池的凭据未包含在第二个应用程序池的请求标头中。我已使用 Fiddler 验证了这一点。
先把问题放在一边,与我一起工作的人已经多次告诉我,当禁用 Kerberos 日志记录时将显示 Kerberos 错误。起初,我以为他只是在检查参数键中的 LogLevel DWORD 后才进行覆盖,尽管在我们处理问题时系统事件日志中出现了许多错误。但昨晚他向我发送了一个请求,要求我在禁用日志记录的情况下运行 procmon 跟踪。
在过去 10 多年使用 Microsoft Server 操作系统的过程中,我从未见过除非启用日志记录,否则会显示 Kerberos 错误。我甚至不知道 WMI 提供程序如何在日志记录完全禁用的情况下做出与记录特定严重性相关的决定;如果没有该注册表项,提供程序应该会排除所有与 Kerberos 相关的事件。
虽然我对此持怀疑态度,但我还是想提出这个问题,因为我确信有无数东西我以前从未见过。这个对我来说听起来不对劲。所以问题是:
是否有人曾经见过或听说过当 Kerberos 日志记录被禁用时,系统事件日志中会出现 Kerberos 错误?
我很感谢您的反馈,谢谢。
答案1
我在事件日志中看到未启用日志级别的 Kerberos 事件。