Služba KDC konfigurační klíče v systému Windows Server 2003 a položkami registru pro protokol Kerberos

Překlady článku Překlady článku
ID článku: 837361 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek obsahuje informace o položkách registru, které se vztahují k protokolu Kerberos verze 5 ověřování systému Microsoft Windows Server 2003.

ÚVOD

Kerberos je mechanismus ověřování, který slouží k ověření identity uživatele nebo hostitele. Kerberos je preferovaný ověřovací metoda pro služby v systému Windows Server 2003.

Pokud používáte systém Windows Server 2003, můžete upravit parametry protokolu Kerberos k řešení Kerberos problémy ověření nebo testování protokolu Kerberos. Chcete-li to provést, přidejte nebo Úprava položky registru, které jsou uvedeny v "Další informace" sekce.

Další informace

Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které můžete zjistit, jak na úpravou registru. Však mohou nastat závažné problémy při úpravě registr nesprávně. Proto se ujistěte, postupujte podle těchto kroků: opatrně. Pro zvýšení ochrany před úpravami je nutné zálohujte registr. Můžete pak obnovení registru v případě, že dojde k potížím. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Postup při zálohování a obnovení registru v systému Windows
Poznámka: Po dokončení řešení potíží nebo testování Kerberos protokol, odeberte všechny položky registru, které přidáte. Jinak, výkon počítače mohou být ovlivněny.

Položky registru a hodnoty v klíči parametry

Položky registru, které jsou uvedeny v této části musí být přidán. do následujícího podklíče registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Poznámka: Pokud klíč parametrů není uveden v protokolu Kerberos, musí Vytvoření klíče.
  • Položka: SkewTime
    Typ: REG_DWORD
    Výchozí hodnota: 5 (minuty)

    Tato hodnota je maximální časový rozdíl, který je povolen mezi počítačem klienta a serveru, který přijímá Kerberos ověřování. V systému Windows 2000 zkontrolovat verzi sestavení, výchozí SkewTime hodnota je 2 hodiny.

    Poznámka: Kontrolované sestavení verzi operačního systému Windows se používá. výrobní a testovací prostředí. (Kontrolovaného sestavení je známá také jako ladicí verze) Kontrolované sestavení má mnoho kompilátor optimalizace vypnuta. Toto sestavení druh trasování pomáhá příčinu problémů v systému. A zkontrolovat sestavení zapne mnoha ladění kontroly v kódu operačního systému a v ovladačích systému. Tyto kontroly ladění pomoci kontrolované sestavení identifikovat vnitřní nekonzistence, jakmile se vyskytnou. Kontrolované sestavení je větší a je pomalejší než koncového uživatele s verzí systému Windows spustit.

    Koncovým uživatelem verze systému Windows je také verze volné sestavení nebo sestavení prodejní verze verze. Volné sestavení verze, informace o ladění odebrán a v systému Windows je integrována s plnou kompilátor optimalizace. Verze volné sestavení je rychlejší a používá méně paměti než verze kontrolovaného sestavení.
  • Položka: LogLevel
    Typ: REG_DWORD
    Výchozí hodnota: 0

    Tato hodnota označuje, zda budou události zaznamenány události systému protokol. Je-li tato hodnota nastavena na hodnotu nula, všechny události související s protokolem Kerberos jsou zaznamenány v systémovém protokolu událostí.
  • Položka: MaxPacketSize
    Typ: REG_DWORD
    Výchozí Hodnota: 1465 (bajty)

    Tato hodnota je maximální User Datagram Protocol Velikost paketu (UDP). Pokud velikost paketu překračuje tuto hodnotu, se používá protokol TCP.
  • Položka: StartupTime
    Typ: REG_DWORD
    Výchozí hodnota: 120 (sekundy)

    Tato hodnota je doba, po kterou systém Windows čeká na klíč Centrum distribuce (KDC) spustit před Windows poskytuje.
  • Položka: KdcWaitTime
    Typ: REG_DWORD
    Výchozí hodnota: 10 (sekundy)

    Tato hodnota je systém Windows čeká na odezvu od Služba KDC.
  • Položka: KdcBackoffTime
    Typ: REG_DWORD
    Výchozí Hodnota: 10 (sekundy)


    Tato hodnota je doba mezi následnými volání služby KDC, pokud předchozí volání se nezdařilo.
  • Položka: KdcSendRetries
    Typ: REG_DWORD
    Výchozí Hodnota: 3

    Tato hodnota je počet opakování, které se klient pokusí Obraťte se služby KDC.
  • Položka: DefaultEncryptionType
    Typ: REG_DWORD
    Výchozí hodnota: 23 (desítkově) nebo, 0x17, (šestnáctkově)

    Tato hodnota označuje výchozí typ šifrování pro předběžné ověření.
  • Položka: FarKdcTimeout
    Typ: REG_DWORD
    Výchozí Hodnota: 10 (minuty)

    Toto je hodnota časového limitu, který slouží k neruší řadiče domény z jiné sítě v řadiči domény mezipaměť.
  • Položka: NearKdcTimeout
    Typ: REG_DWORD
    Výchozí Hodnota: 30 (minuty)

    Toto je hodnota časového limitu, který slouží k neruší řadiče domény ve stejné síti v řadiči domény mezipaměť.
  • Položka: StronglyEncryptDatagram
    Typ: REG_BOOL
    Výchozí hodnota: FALSE

    Tato hodnota obsahuje příznak, který označuje zda použít 128bitové šifrování paketů datagramu.
  • Položka: MaxReferralCount
    Typ: REG_DWORD
    Výchozí Hodnota: 6

    Tato hodnota je počet odkazů KDC, klient sleduje dříve, než klient dává.
  • Položka: KerbDebugLevel
    Typ: REG_DWORD
    Výchozí Hodnota: 0xFFFFFFFF

    Tato hodnota je seznam příznaků, které označují typ a úroveň protokolování, který se žádá. Tento druh protokolování může shromáždit na úrovni komponenty Kerberos bitového nebo jeden nebo více maker, které jsou popsány v následující tabulce. Poznámka: některé pod výstup vyžaduje kontrolované verze kerberos.dll (například DEB_TRACE_SPN_CACHE). Pokud je nutné tuto úroveň při řešení potíží obraťte se na podporu společnosti microsoft.
    Zmenšit tuto tabulkuRozšířit tuto tabulku
    Název makraHodnotaPoznámka:
    DEB_ERROR0x00000001Toto je výchozí InfoLevel pro zkontrolovaná sestavení. To vytváří chybové zprávy různé komponenty.
    DEB_WARN0x00000002Toto makro generuje upozornění různé komponenty. V některých případech mohou být tyto zprávy ignorováno.
    DEB_TRACE0x00000004Toto makro umožňuje Obecné trasování událostí.
    DEB_TRACE_API0x00000008Toto makro umožňuje uživatelské rozhraní API trasování událostí, které obvykle přihlášeni, položka a na konec externě exportované funkce implementovaný pomocí SSPI.
    DEB_TRACE_CRED0x00000010Toto makro Povolí trasování pověření.
    DEB_TRACE_CTXT0x00000020Toto makro Povolí trasování kontextu.
    DEB_TRACE_LSESS0x00000040 RežimToto makro Povolí trasování přihlašovací relace.
    DEB_TRACE_TCACHE0x00000080Není provádění
    DEB_TRACE_LOGON0x00000100Toto makro Povolí trasování přihlášení jako v LsaApLogonUserEx2().
    DEB_TRACE_KDC0x00000200Toto makro Povolí trasování před a po volání KerbMakeKdcCall().
    DEB_TRACE_CTXT20x00000400Toto makro Povolí trasování kontextu.
    DEB_TRACE_TIME0x00000800Toto makro umožňuje zkosení trasování, která se nachází v Timesync.cxx čas.
    DEB_TRACE_USER0x00001000Toto makro Povolí trasování rozhraní API uživatele, který se používá spolu s DEB_TRACE_API a který je najít především v Userapi.cxx.
    DEB_TRACE_LEAKS0x00002000
    DEB_TRACE_SOCK0x00004000Toto makro umožňuje události související s protokolem Winsock.
    DEB_TRACE_SPN_CACHE0x00008000Toto makro události, které souvisejí s přístupy do mezipaměti SPN umožňuje a vynechává.
    DEB_S4U_ERROR0x00010000Není provádění
    DEB_TRACE_S4U0x00020000
    DEB_TRACE_BND_CACHE0x00040000
    DEB_TRACE_LOOPBACK0x00080000
    DEB_TRACE_TKT_RENEWAL0x00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000Není provádění
  • Položka: MaxTokenSize
    Typ: REG_DWORD
    Výchozí hodnota: 12000 (Desítkově)

    Tato hodnota je maximální hodnota Kerberos token. Společnost Microsoft doporučuje nastavit tuto hodnotu menší než 65535.
  • Položka: SpnCacheTimeout
    Typ: REG_DWORD
    Výchozí Hodnota: 15 minut

    Tato hodnota se používá v systému, při odstranění položky mezipaměti hlavní názvy služeb (SPN). V řadičích domény je zakázána mezipaměť názvů SPN. Členské servery a klienty pomocí této hodnoty stáří a odstranění negativních položek (SPN nebyl nalezen). Poznámka: po 15 minutách vytváření nejsou odstraněny položky mezipaměti platný název SPN (negativní mezipaměť i.e.not). Však také SPNCacheTimeouvalue používá ke snížení mezipaměti SPN na zvládnutelnou velikost - 350 položky systému úklid pomocí této hodnoty dosáhne mezipaměti SPN a vyčištění staré a nepoužívané položky.
  • Položka: S4UCacheTimeout
    Typ: REG_DWORD
    Výchozí Hodnota: 15 minut

    Tato hodnota je životnost negativní S4U položky, které slouží k omezení počtu požadavků proxy S4U z mezipaměti konkrétní počítač.
  • Položka: S4UTicketLifetime
    Typ: REG_DWORD
    Výchozí Hodnota: 15 minut

    Tato hodnota je doba platnosti lístků, které jsou získaný S4U požadavky serveru proxy.
  • Položka: RetryPdc
    Typ: REG_DWORD
    Výchozí hodnota: 0 (NEPRAVDA)
    Možné hodnoty: 0 (false) nebo jakoukoli nenulovou hodnotu (true)

    Tato hodnota určuje, zda klient bude kontaktovat primární řadič domény pro ověřování služby požadavky (AS_REQ) Pokud klient obdrží chybu vypršení platnosti hesla.
  • Položka: RequestOptions
    Typ: REG_DWORD
    Výchozí Hodnota: Libovolná RFC 1510 hodnota

    Tato hodnota označuje, zda jsou Další možnosti, které musí být odeslána jako služba KDC možnosti služby udělování lístků požadavky (TGS_REQ).
  • Položka: ClientIpAddress
    Typ: REG_DWORD
    Výchozí Hodnota: 0 (Toto nastavení je 0 z důvodu Dynamic Host Configuration Protocol a Síťová adresa překlad problémy.)
    Možné hodnoty: 0 (false) nebo jakékoli nulová hodnota (PRAVDA)

    Tato hodnota označuje, zda adresa IP klienta bude přidáno do AS_REQ vynutit pole obsahují adresy IP ve všech Caddr lístky.
  • Položka: TgtRenewalTime
    Typ: REG_DWORD
    Výchozí Hodnota: 600 sekund.

    Tato hodnota představuje dobu, po kterou vyčká, než Kerberos pokusí se obnovit lístek udělení lístku (TGT) před lístek platnost vyprší.
  • Položka: AllowTgtSessionKey
    Typ: REG_DWORD
    Výchozí Hodnota: 0
    Možné hodnoty: 0 (false) nebo jakoukoli nenulovou hodnotu (true)

    Tato hodnota označuje, zda jsou s počáteční exportovat klíče relace nebo s křížového ověřování TGT sféry. Výchozí hodnota je false pro zabezpečení důvody.

Položky registru a hodnoty v klíči služby Kdc

Položky registru, které jsou uvedeny v této části musí být přidán. do následujícího podklíče registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Poznámka: Pokud služba Kdc klíč není uveden v seznamu služby, musíte vytvořit klíč.
  • Položka: KdcUseClientAddresses
    Typ: REG_DWORD
    Výchozí hodnota: 0
    Možné hodnoty: 0 (false) nebo jakákoli nenulová hodnota (PRAVDA)

    Tato hodnota označuje, zda adresy IP bude přidán do Ticket-Granting Service odpověď (TGS_REP).
  • Položka: KdcDontCheckAddresses
    Typ: REG_DWORD
    Výchozí hodnota: 1
    Možné hodnoty: 0 (false) nebo jakákoli nenulová hodnota (PRAVDA)

    Tato hodnota označuje, zda adresy IP TGS_REQ a TGT Caddr pole bude zkontrolován.
  • Položka: NewConnectionTimeout
    Typ: REG_DWORD
    Výchozí hodnota: 10 (sekundy)

    Tato hodnota je čas, který počáteční připojení TCP koncový bod bude průběžně otevřené přijímat data před odpojí.
  • Položka: MaxDatagramReplySize
    Typ: REG_DWORD
    Výchozí hodnota: 1465 (decimal bajtů)

    Tato hodnota je maximální Velikost paketu UDP v TGS_REP a ověřování služby odpovědi (AS_REP) zprávy. Pokud paket překračuje tuto hodnotu, vrátí služba KDC KRB_ERR_RESPONSE_TOO_BIG zpráva, která požaduje, aby klient přepnout na TCP.

    Poznámka: Zvýšení MaxDatagramReplySize může zvýšit pravděpodobnost, že pakety UDP protokolu Kerberos je fragmentovaný.

    Další informace o tomto problému Klepnutím na následující číslo článku Microsoft Znalostní báze Knowledge Base:
    244474Vynucení protokolu Kerberos použití protokolu TCP místo protokolu UDP v systému Windows
  • Položka: KdcExtraLogLevel
    Typ: REG_DWORD
    Výchozí Hodnota: 2
    Možné hodnoty:
    • 1 (desítkově) nebo 0x1 (šestnáctkově): Neznámý název SPN auditu chyby.
    • 2 (desítkově) nebo 0x2 (šestnáctkově): chyby protokolu PKINIT. (PKINIT je IETF (Internet Engineering Task Force) internetový koncept "veřejnosti Kryptografii klíče pro počáteční ověřování protokolem Kerberos.")
    • 4 (desítkově) nebo 0x4 (šestnáctkově): Protokolovat všechny služby KDC chyby.
    • 8 (desítkově) nebo 0x8 (šestnáctkově): událost upozornění protokolu KDC 25 se v protokolu systému s žádostí o S4U2Self lístku uživatele nemá dostatečný přístup k cílové uživatele.
    • 16 (desítkově) nebo 0x10 (šestnáctkově): protokol auditování událostí na typ šifrování (ETYPE) a chyby chybný možnosti.
    Tato hodnota určuje, jaké informace bude služba KDC zapisovat do protokoly událostí a audity.
  • Položka: KdcDebugLevel
    Typ: REG_DWORD
    Výchozí Hodnota: 1 pro kontrolované sestavení 0 volného sestavení

    Tato hodnota označuje zda je protokolování ladění (1) nebo vypnuto (0).

    Pokud je hodnota nastavena na 0x10000000 (šestnáctkově) nebo 268435456 (desítkově) konkrétní soubor nebo řádku informace budou vráceny v oblasti edata KERB_ERRORS jako PKERB_EXT_ERROR chyby při zpracování KDC selhání.

Vlastnosti

ID článku: 837361 - Poslední aktualizace: 22. května 2011 - Revize: 7.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Vista Business
  • Windows Vista Enterprise
  • Aktualizace SP2 pro Windows Vista
  • Microsoft Windows XP Service Pack 3
Klíčová slova: 
kbwinservnetwork kbsecurityservices kbregistry kbinfo kbmt KB837361 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:837361

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com