Windows 2000 では、Kerberos の管理

文書翻訳 文書翻訳
文書番号: 232179 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

Windows 2000 の Kerberos 認証プロトコルの実装では、詳細にわたる管理や構成を必要としません。 これはデフォルトの認証パッケージであるため、すべての Microsoft Windows 2000 ベースのコンピュータに自動的にインストールされます。 スマート カードの以外には Kerberos は、通常、自動プロセスを設定する必要はありません。 Kerberos に適用できる非常にいくつかのポリシーの選択肢があります。 ネットワーク モニターが、組み込みのパーサーを持たないおり、ほとんどの Kerberos トラフィックが暗号化すると、されるため、トレースは非常に公開およびしたがっていない便利できません。 ここでは、Kerberos プロトコルの管理について説明します。

詳細

2 つのユーティリティは Kerberos の管理に含まれています: KerbTray および NetDom。

KerbTray

KerbTray は、Kerberos プロトコルを実行して特定のコンピューターのチケット情報を表示を使用します。 KerbTray アイコンは、タスク バーの右側) にシステム トレイでありを使用する表示し、チケット キャッシュを削除することができます。 KerbTray を使用するには、アイコンを右クリックし、 リスト チケット または チケットを削除 します。 チケット キャッシュを表示すると、次のフラグ フラグの列にマップします。
  • F = forwardable
  • f = 転送
  • P = proxiable
  • p = プロキシ
  • D = が postdate
  • d = postdated
  • i = 無効
  • R = できます。
  • 初期 =
  • H = 認証ハードウェア
  • A = pre-authenticated
  • L = デリゲートとして [OK]

チケットのフラグの既定値

  • チケット保証チケットの TGT (最初の一覧に表示されているチケット): FPRI (Forwardable、Proxiable、Renewable、および初期)。
  • セッション チケット (2 番目と 3 番目一覧に表示されているチケット): FPR (Forwardable、Proxiable、および Renewable)。

netDom

netDom はサーバーへのサーバーとワークステーションにサーバーの間のセキュリティで保護されたチャネルを操作するには、リソース キット ツールです。 Windows 2000 では、Netdom はドメインのサーバーとの信頼関係をチェックするツールです。 それも Kerberos 推移的な信頼をリセットできるように変更されました。

Kerberos ポリシーの設定

Windows 2000 では、Kerberos ポリシーはドメイン レベルで定義され、ドメインのキー配布センター (KDC) によって実装されています。 Kerberos ポリシーは、ドメイン セキュリティ ポリシーの属性のサブセットとして Active Directory に格納されます。 既定では、ポリシーのオプションは、ドメイン管理者グループのメンバーによってのみ設定できます。

Kerberos ポリシーは既定のドメイン ポリシーでありには次のオプションが含まれます。

ユーザー ログオンの制限を強制します。

このオプションが有効な場合、KDC </a0> はユーザーがローカルでログオンするか、ネットワークからコンピューターにアクセスするか右を確認するターゲット コンピューターにユーザー権利のポリシーを確認して各要求をセッション チケットを検証します。 チェック、要求元のアカウントがまだ有効です。 検証は、余分な手順は時間を受け取り、サービスへのネットワーク アクセスが低速ため省略可能です。 既定値: 有効になっています。

最大の有効期間をユーザー チケットを更新できます。

これは、チケットの最大有効期間 (TGT またはセッション チケット、これがユーザー チケットのであることをポリシーを指定しますが)。 この後チケットことができます更新はありません。 既定値: 7 日間です。

最大のサービス チケットの有効期間

サービス チケットは、セッション チケットです。 設定は、分単位) です。 設定は 10 分を超えると、"ユーザー チケット"最長有効期間: の設定より小さい 既定値: 10 時間です。

コンピューターの時計の同期の最大許容度

KDC サーバーの時計と Kerberos クライアントのクロックは指定された数の分以内に同期するがあります。 分数の指定した範囲内で、時計は同期されていない場合、チケットがクライアントに発行されません。 これは、再生攻撃で抑止力です。 設定は、分単位) です。 既定値: 5 分です。

最大ユーザー チケットの有効期間

ユーザー チケットは TGT をあり、この後に更新する必要があります。 既定値: 10 時間です。

プロパティ

文書番号: 232179 - 最終更新日: 2007年2月27日 - リビジョン: 3.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Datacenter Server
キーワード:?
kbinfo kbenv kbmt KB232179 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:232179
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com