Windows 2000'de Kerberos yönetimi

Makale çevirileri Makale çevirileri
Makale numarası: 232179 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Kerberos kimlik doğrulama iletişim kuralı, Windows 2000 uygulama kapsamlı bir yönetim veya yapılandırma gerektirmez. Varsayılan kimlik doğrulama paketi olduğundan, tüm Microsoft Windows 2000 tabanlı bilgisayarlarda otomatik olarak yüklenir. Dışında akıllı kartlar, Kerberos normal olarak otomatik bir süreçtir ve bunu ayarlamak için gerekli değildir. Kerberos için uygulanan birkaç ilke seçenekleri vardır. Ağ izleyicisi'nin yerleşik bir Çözümleyicisi vardır ve çoğu Kerberos trafiği şifreli olduğu için izlemeler çok revealing ve bu nedenle değil çok kullanışlı değildir. Bu makalede, Kerberos iletişim kuralı yönetimini açıklar.

Daha fazla bilgi

Kerberos Yönetim için iki yardımcı program bulunmaktadır: KerbTray ve NetDom.

KerbTray

KerbTray bilet Kerberos iletişim kuralı'nı çalıştıran bir bilgisayarın bilgilerini görüntülemek için kullanılır. KerbTray simgesi (görev çubuğunun sağ tarafındaki) sistem tepsisinde yer alan ve bilet önbelleğini temizlemek için kullanılabilir. KerbTray kullanmak için <a0></a0>, simgeyi sağ tıklatın ve Liste anahtarları veya Bilet Temizle'yi tıklatın. Bilet önbelleğini görüntülerken, aşağıdaki bayraklar FLAGS sütuna eşleştirilir:
  • F forwardable =
  • f = iletilen
  • P proxiable =
  • p proxy üzerinden =
  • D Mayıs = postdate
  • d = postdated
  • i geçersiz =
  • R yenilenemez =
  • BANA ilk =
  • H donanım kimliği =
  • Pre-Authenticated a =
  • M = temsilci olarak Tamam

Bilet bayrak Varsayılanları

  • TGT (ilk listelenen bilet) veya bilet Ticket Granting: FPRI (Forwardable Proxiable, Renewable ve Başlangıç).
  • Oturum biletleri (ikinci ve üçüncü listelenen biletleri) için: FPR (Forwardable Proxiable ve Renewable).

NetDom

NetDom sunucularına sunucular ve iş istasyonlarına sunucuları arasındaki güvenli kanalları işlemek için bir kaynak seti aracıdır. Windows 2000'de, NetDom etki alanı sunucuları ve güven ilişkileri için denetleyen bir araçtır. Ayrıca, Kerberos geçişli güvenler sıfırlamak için izin vermek için değiştirildi.

Kerberos ilkesi ayarları

Windows 2000'de Kerberos ilkesi etki alanı düzeyinde tanımlanan ve etki alanı Anahtar Dağıtım Merkezi (KDC) tarafından uygulanır. Kerberos ilkesi, etki alanı güvenlik ilkesi özniteliklerinin bir alt dizini olarak Active Directory'de depolanır. Varsayılan olarak, ilke seçenekleri, yalnızca Domain Administrators grubunun bir üyesi ayarlanabilir.

Kerberos ilkesi varsayılan etki alanı ilkesi'nde bulunur ve aşağıdaki seçenekleri içerir:

Kullanıcı oturum açma kısıtlamalarını uygula

Bu seçenek etkinleştirildiğinde, KDC, her oturum bileti isteğini hedef bilgisayardaki kullanıcının yerel olarak oturum açmaya veya ağ üzerinden bilgisayara erişim için olduğunu doğrulamak için kullanıcı hakları ilkesine incelenerek doğrular. Bu istekte bulunan hesap hala geçerli olduğundan emin olmak için bir onay işareti olur. Doğrulama isteğe bağlıdır, çünkü bu fazladan adım zaman alır ve ağ hizmetlerine erişim yavaşlatabilir. Varsayılan değer: etkin.

Bir kullanıcı bileti yenilenebilir, en fazla yaşam süresi

Bu bilet, en fazla etkin kalma süresi, (TGT ya da bir oturum anahtarının, ancak bu ilke, bu makalenin "Kullanıcı biletinin" için olduğunu belirtir). Hiçbir anahtar bu süreden sonra yenilenebilir. Varsayılan değer: 7 gün.

Hizmet bileti en fazla yaşam süresi

Bir oturum biletinin "Hizmet biletinin" dir. Dakika cinsinden ayarlarıdır. Ayar on dakika daha çok olmalıdır ve küçüktür ayarı "En fazla kullanıcı biletinin süresi." Varsayılan değer: 10 saat.

Bilgisayar saatler, eşitleme için en fazla tolerans

KDC sunucunun saatinin ve Kerberos istemcisinin saat içinde belirlenen bir süre sonunda eşitlenmesi gerekir. Saatleri, belirtilen dakika sayısı içinde eşitlenmemiş, istemciye biletleri verilmemiş. Yeniden yürütme saldırılarına'da bir deterrent budur. Dakika cinsinden ayarlarıdır. Varsayılan değer: 5 dakika.

En fazla kullanıcı bilet süresi

"Kullanıcı biletinin" TGT, bu süre sonunda yenilenmesi gerekir. Varsayılan değer: 10 saat.

Özellikler

Makale numarası: 232179 - Last Review: 27 Şubat 2007 Salı - Gözden geçirme: 3.2
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Anahtar Kelimeler: 
kbmt kbenv kbinfo KB232179 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:232179

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com