在 Windows 2000 中的 Kerberos 管理

文章翻譯 文章翻譯
文章編號: 232179 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

廣泛的系統管理或組態,並不需要 Windows 2000 實作的 Kerberos 驗證通訊協定。因為它是預設的驗證封裝,它會在所有的 Microsoft Windows 2000 電腦上的自動安裝。除了如智慧卡 Kerberos 通常是自動的程序,以及您不所需將它設定。有極少數可以套用到 Kerberos 的原則選項。「 網路監視器沒有一個內建的剖析器,因為加密大多數 Kerberos 資料傳輸的追蹤不是非常透露和因此不非常有用。本文將告訴您,Kerberos 通訊協定的管理。

其他相關資訊

兩種公用程式會包含在 Kerbero 管理: KerbTray 和 netdom。

KerbTray

KerbTray 用來顯示執行 Kerberos 通訊協定的特定電腦的票證資訊。KerbTray 圖示位於系統匣 (在工作列右邊) 中,而且可以用來檢視及清除票證快取。使用 [KerbTray、 在圖示上按一下滑鼠右鍵,然後按一下 [清單票證清除票證。當您檢視票證快取時, 下列旗標會對應到 [旗標] 欄位:
  • F = forwardable
  • f = 轉送
  • P = proxiable
  • p = 代理
  • D = 五月 postdate
  • d = postdated
  • i = 無效
  • R = renewable
  • 我 = 初始
  • H = 硬體驗證
  • = pre-authenticated
  • L = [確定] 和委派

票證旗標的預設值

  • 票證授與票證或 TGT (第一個列出票證): FPRI (Forwardable、 Proxiable、 Renewable 及起始)。
  • 針對工作階段票證 (第二個和第三個列出票證): FPR (Forwardable、 Proxiable 和 Renewable)。

netdom

netdom 是操作到伺服器的伺服器與工作站的伺服器之間的安全通道的資源工具箱 」 工具。在 Windows 2000 netdom 會是一個工具,檢查網域伺服器及信任。它已被修改也允許重設 Kerberos 可轉移信任。

Kerberos 原則設定

在 Windows 2000 Kerberos 原則是在網域層級定義,實作由網域的 「 金鑰發行中心 (KDC)。Kerberos 原則會儲存在 Active Directory 中為網域安全性原則的屬性的子集。預設情況下,可以設定原則選項只由網域系統管理員群組的成員。

Kerberos 原則位於 「 預設網域原則中,並包括下列選項:

強制執行使用者登入限制

啟用此選項時 KDC 會藉由檢查使用者權限原則來驗證使用者有權在本機登入,或從網路取得存取權電腦在目標電腦上的驗證工作階段票證每一個要求。它也是檢查以確定提出要求的帳戶仍然有效。驗證是選擇性的因為額外的步驟越多耗時越久,而且可能會減慢服務的網路存取。預設值: 已啟用。

使用者票證更新的最大存留期

這是最大存留期的票證 (TGT 或工作階段票證,雖然原則指定這是針對使用者票證)。沒有票證可以更新此時間之後。預設值: 7 天。

最大的服務票證存留期 (Lifetime)

服務票證是工作階段票證。設定是以分鐘為單位。此設定必須超過十分鐘,而且小於設定為"使用者票證存留時間的最大值"。預設值: 10 小時。

電腦時鐘同步處理的最大容錯性

KDC 伺服器的時鐘與 Kerberos 用戶端的時鐘必須同步處理至指定的分鐘數內。如果內指定的分鐘數不同步時鐘,票證不是發出用戶端。這是在重新執行攻擊 deterrent。設定是以分鐘為單位。預設值: 5 分鐘。

最大使用者票證存留期 (Lifetime)

使用者票證是 TGT,並且必須更新此時間之後。預設值: 10 小時。

屬性

文章編號: 232179 - 上次校閱: 2007年2月27日 - 版次: 3.2
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbmt kbenv kbinfo KB232179 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:232179
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com