在 Windows 2000 中的 Kerberos 管理

文章翻译 文章翻译
文章编号: 232179 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

Windows 2000 实现的 Kerberos 身份验证协议不需要大量的管理或配置。它是默认身份验证程序包则它会自动安装在所有基于 Microsoft Windows 2000 的计算机上。智能卡除外 Kerberos 通常是一个自动过程,您无需对其进行设置。有很少的可应用于 Kerberos 策略选项。网络监视器不具有一个内置分析器,因为加密的大多数 Kerberos 通信跟踪不是非常暴露,因此不很有用。本文介绍了 Kerberos 协议的管理。

更多信息

两个实用程序也包括针对 Kerberos 管理: KerbTray 和 NetDom。

KerbTray

要显示的给定运行 Kerberos 协议的计算机的票证信息,请使用 KerbTray。KerbTray 图标位于系统托盘 (在任务栏的右边) 中,可用于查看和清除票证缓存。以使用 KerbTray,用鼠标右键单击图标然后单击 列表票证清除票证。查看票证缓存时, 以下标志映射到标志列,请执行以下操作:
  • F = forwardable
  • f = 转发
  • P = proxiable
  • p = 代理
  • D = 可能 postdate
  • d = postdated
  • i = 无效
  • R = 续订
  • I = 初始
  • H = 硬件已通过身份验证
  • pre-authenticated A =
  • L = 确定与委托

票证标记为默认值

  • 为票证授权票证或 TGT (第一个列出票证): FPRI (Forwardable、 Proxiable、 Renewable 和初始)。
  • 会话票证 (第二个和第三个列出赛) 为: FPR (Forwardable、 Proxiable 和 Renewable)。

netDom

netDom 是一个资源工具包工具,用于处理服务器到服务器和工作站的服务器之间的安全通道。在 Windows 2000 NetDom 是一种工具来检查域服务器和 $ 信任关系。它已被修改以还允许重置的 Kerberos 可传递信任关系。

Kerberos 策略设置

在 Windows 2000 Kerberos 策略在域级别定义和实现通过该域的密钥分发中心 (KDC)。Kerberos 策略存储在 Active Directory 中为域安全策略的属性的子集。默认状态下,策略选项只能由域管理员组的成员设置。

Kerberos 策略位于默认域策略,并包括以下选项:

强制用户登录限制

当此选项处于启用状态时,KDC 通过检查用户权限策略,以验证该用户有权限在本地登录或从网络访问计算机在目标计算机上的验证会话票证的每个请求。它也是检查,以确保发出请求的帐户仍然有效。验证是可选的因为该额外步骤所需的时间并可能降低服务的网络访问速度。默认值: 已启用。

可以在更新用户票证的最大生存期

这是一个票证的最大生存时间 (TGT 或会话票证,尽管该策略指定这是一个"用户票证")。在这段时间之后,可以将续订没有票证。默认值: 7 天。

最大服务票据生存时间

"服务票证"是一个会话票证。设置是以分钟为单位)。此设置必须大于 10 分钟并小于设置为"最长用户票证寿命。默认值: 10 小时。

计算机时钟同步的最大容差

KDC 服务器的时钟和 Kerberos 客户端的时钟必须同步到内指定的分钟数。如果指定的分钟数内不同步时钟,票证不被颁发给客户端。这是一个 deterrent 中重播攻击。设置是以分钟为单位)。默认值: 5 分钟。

用户票证的最大生存期

"用户票据"TGT,必须在这段时间之后更新。默认值: 10 小时。

属性

文章编号: 232179 - 最后修改: 2007年2月27日 - 修订: 3.2
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
关键字:?
kbmt kbenv kbinfo KB232179 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 232179
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com