Kerberos-Protokollregistrierungseinträge und KDC-Konfigurationsschlüssel in Windows

In diesem Artikel werden Registrierungseinträge zum Kerberos-Authentifizierungsprotokoll der Version 5 und zur Konfiguration des Schlüsselverteilungscenters (Key Distribution Center, KDC) beschrieben.

Gilt für: Windows 11, Windows 10, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Ursprüngliche KB-Nummer: 837361

Zusammenfassung

Kerberos ist ein Authentifizierungsmechanismus, der zum Überprüfen der Benutzer- oder Hostidentität verwendet wird. Kerberos ist die bevorzugte Authentifizierungsmethode für Dienste in Windows.

Wenn Sie Windows ausführen, können Sie die Kerberos-Parameter ändern, um Probleme mit der Kerberos-Authentifizierung zu beheben oder das Kerberos-Protokoll zu testen. Fügen Sie dazu die Registrierungseinträge hinzu, die in den folgenden Abschnitten aufgeführt sind, oder ändern Sie sie.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Hinweis

Nachdem Sie die Problembehandlung oder das Testen des Kerberos-Protokolls abgeschlossen haben, entfernen Sie alle Registrierungseinträge, die Sie hinzufügen. Andernfalls kann die Leistung Ihres Computers beeinträchtigt werden.

Registrierungseinträge und -werte unter dem Parameterschlüssel

Die in diesem Abschnitt aufgeführten Registrierungseinträge müssen dem folgenden Registrierungsunterschlüssel hinzugefügt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Hinweis

Wenn der Parameterschlüssel nicht unter Kerberos aufgeführt ist, müssen Sie den Schlüssel erstellen.

  • Eintrag: SkewTime

    • Typ: REG_DWORD

    • Standardwert: 5 (Minuten)

      Dieser Wert ist die maximale Zeitdifferenz, die zwischen dem Clientcomputer und dem Server zulässig ist, der die Kerberos-Authentifizierung oder den KDC akzeptiert.

      Hinweis

      Die SkewTime wird bei der Bestimmung der Kerberos-Ticketgültigkeit für die Wiederverwendung berücksichtigt. Ein Ticket gilt als abgelaufen, wenn die Ablaufzeit kleiner als die aktuelle Zeit + die SkewTime ist. Wenn die SkewTime beispielsweise auf 20 Minuten und die aktuelle Uhrzeit 08:00 Uhr festgelegt ist, gilt jedes Ticket mit einer Ablaufzeit vor 08:20 Uhr als abgelaufen.

  • Eintrag: LogLevel

    • Typ: REG_DWORD

    • Standardwert: 0

      Dieser Wert gibt an, ob Ereignisse im Systemereignisprotokoll protokolliert werden. Wenn dieser Wert auf einen beliebigen Wert ungleich 0 festgelegt ist, werden alle Kerberos-bezogenen Ereignisse im Systemereignisprotokoll protokolliert.

      Hinweis

      Die protokollierten Ereignisse können falsch positive Ergebnisse enthalten, bei denen der Kerberos-Client wiederholungsversuche mit unterschiedlichen Anforderungsflags, die dann erfolgreich sind. Gehen Sie daher nicht davon aus, dass ein Kerberos-Problem vorliegt, wenn ein Ereignis basierend auf dieser Einstellung protokolliert wird. Weitere Informationen finden Sie unter Aktivieren der Kerberos-Ereignisprotokollierung .

  • Eintrag: MaxPacketSize

    • Typ: REG_DWORD

    • Standardwert: 1465 (Bytes)

      Dieser Wert ist die maximale UDP-Paketgröße (User Datagram Protocol). Wenn die Paketgröße diesen Wert überschreitet, wird TCP verwendet.

      Der Standardwert für diesen Wert in Windows Vista und höheren Versionen von Windows ist 0, sodass UDP niemals vom Windows Kerberos-Client verwendet wird.

  • Eintrag: StartupTime

    • Typ: REG_DWORD

    • Standardwert: 120 (Sekunden)

      Dieser Wert ist die Zeit, die Windows auf den Start des KDC wartet, bevor Windows aufgibt.

  • Eintrag: KdcWaitTime

    • Typ: REG_DWORD

    • Standardwert: 10 (Sekunden)

      Dieser Wert ist die Zeit, die Windows auf eine Antwort von einem KDC wartet.

  • Eintrag: KdcBackoffTime

    • Typ: REG_DWORD

    • Standardwert: 10 (Sekunden)

      Dieser Wert ist die Zeit zwischen aufeinander folgenden Aufrufen des KDC, wenn beim vorherigen Aufruf ein Fehler aufgetreten ist.

  • Eintrag: KdcSendRetries

    • Typ: REG_DWORD

    • Standardwert: 3

      Dieser Wert ist die Häufigkeit, mit der ein Client versucht, eine KDC-Verbindung zu kontaktieren.

  • Eintrag: DefaultEncryptionType

    • Typ: REG_DWORD

      Dieser Wert gibt den Standardverschlüsselungstyp für die Vorauthentifizierung an. Der Standardwert für RC4 ist 23 (dezimal) oder 0x17 (hexadezimal)

      Wenn Sie AES verwenden möchten, legen Sie den Wert auf einen der folgenden Werte fest:

      • aes256-cts-hmac-sha1-96: 18 oder 0x12
      • aes128-cts-hmac-sha1-96: 17 oder 0x11

      Dieser Wert gibt den Standardverschlüsselungstyp für die Vorauthentifizierung an.

  • Eintrag: FarKdcTimeout

    • Typ: REG_DWORD

    • Standardwert: 10 (Minuten)

      Es ist der Timeoutwert, der verwendet wird, um einen Domänencontroller von einem anderen Standort im Domänencontrollercache für ungültig zu erklären.

  • Eintrag: NearKdcTimeout

    • Typ: REG_DWORD

    • Standardwert: 30 (Minuten)

      Es ist der Timeoutwert, der verwendet wird, um einen Domänencontroller an demselben Standort im Domänencontrollercache für ungültig zu erklären.

  • Eintrag: StronglyEncryptDatagram

    • Typ: REG_BOOL

    • Standardwert: FALSE

      Dieser Wert enthält ein Flag, das angibt, ob die 128-Bit-Verschlüsselung für Datagrammpakete verwendet werden soll.

  • Eintrag: MaxReferralCount

    • Typ: REG_DWORD

    • Standardwert: 6

      Dieser Wert ist die Anzahl der KDC-Empfehlungen, die ein Client verfolgt, bevor der Client aufgibt.

  • Eintrag: MaxTokenSize

  • Eintrag: SpnCacheTimeout

    • Typ: REG_DWORD

    • Standardwert: 15 Minuten

      Dieser Wert wird vom System beim Bereinigen von SpN-Cacheeinträgen (Service Principal Names) verwendet. Auf Domänencontrollern ist der SPN-Cache deaktiviert. Clients und Mitgliedsserver verwenden diesen Wert, um negative Cacheeinträge zu löschen (SPN nicht gefunden). Gültige SPN-Cacheeinträge (z. B. kein negativer Cache) werden nach 15 Minuten der Erstellung nicht gelöscht. Der WERT SPNCacheTimeout wird jedoch auch verwendet, um den SPN-Cache auf eine verwaltbare Größe zu reduzieren. Wenn der SPN-Cache 350 Einträge erreicht, verwendet das System diesen Wert für scavenge / cleanup alte und nicht verwendete Einträge.

  • Eintrag: S4UCacheTimeout

    • Typ: REG_DWORD

    • Standardwert: 15 Minuten

      Dieser Wert ist die Lebensdauer der negativen S4U-Cacheeinträge, die verwendet werden, um die Anzahl der S4U-Proxyanforderungen von einem bestimmten Computer einzuschränken.

  • Eintrag: S4UTicketLifetime

    • Typ: REG_DWORD

    • Standardwert: 15 Minuten

      Dieser Wert ist die Lebensdauer von Tickets, die von S4U-Proxyanforderungen abgerufen werden.

  • Eintrag: RetryPdc

    • Typ: REG_DWORD

    • Standardwert: 0 (false)

    • Mögliche Werte: 0 (false) oder ein beliebiger Wert ungleich 0 (true)

      Dieser Wert gibt an, ob der Client den primären Domänencontroller für Authentifizierungsdienstanforderungen (AS_REQ) kontaktiert, wenn der Client einen Kennwortablauffehler empfängt.

  • Eintrag: RequestOptions

    • Typ: REG_DWORD

    • Standardwert: Beliebiger RFC 1510-Wert

      Dieser Wert gibt an, ob weitere Optionen als KDC-Optionen in Ticket Granting Service-Anforderungen (TGS_REQ) gesendet werden müssen.

  • Eintrag: ClientIpAddresses

    • Typ: REG_DWORD

    • Standardwert: 0 (Diese Einstellung ist aufgrund von Problemen mit dem Dynamic Host Configuration Protocol und der Netzwerkadressenübersetzung 0.)

    • Mögliche Werte: 0 (false) oder ein beliebiger Wert ungleich 0 (true)

      Dieser Wert gibt an, ob eine Client-IP-Adresse in AS_REQ hinzugefügt wird, um zu erzwingen, dass das Caddr Feld IP-Adressen in allen Tickets enthält.

  • Eintrag: TgtRenewalTime

    • Typ: REG_DWORD

    • Standardwert: 600 Sekunden

      Dieser Wert ist die Zeit, die Kerberos wartet, bevor versucht wird, ein Ticket Granting Ticket (TGT) zu verlängern, bevor das Ticket abläuft.

  • Eintrag: AllowTgtSessionKey

    • Typ: REG_DWORD

    • Standardwert: 0

    • Mögliche Werte: 0 (false) oder ein beliebiger Wert ungleich 0 (true)

      Dieser Wert gibt an, ob Sitzungsschlüssel mit anfänglicher oder bereichsübergreifender TGT-Authentifizierung exportiert werden. Der Standardwert ist aus Sicherheitsgründen false.

      Hinweis

      Mit aktivem Credential Guard in Windows 10 und höheren Versionen von Windows können Sie die Freigabe der TGT-Sitzungsschlüssel für Anwendungen nicht mehr aktivieren.

Registrierungseinträge und -werte unter dem Kdc-Schlüssel

Die in diesem Abschnitt aufgeführten Registrierungseinträge müssen dem folgenden Registrierungsunterschlüssel hinzugefügt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Hinweis

Wenn der Kdc-Schlüssel nicht unter Dienste aufgeführt ist, müssen Sie den Schlüssel erstellen.

  • Eintrag: KdcUseClientAddresses

    • Typ: REG_DWORD

    • Standardwert: 0

    • Mögliche Werte: 0 (false) oder ein beliebiger Wert ungleich 0 (true)

      Dieser Wert gibt an, ob IP-Adressen im Ticket-Granting Service Reply (TGS_REP) hinzugefügt werden.

  • Eintrag: KdcDontCheckAddresses

    • Typ: REG_DWORD

    • Standardwert: 1

    • Mögliche Werte: 0 (false) oder ein beliebiger Wert ungleich 0 (true)

      Dieser Wert gibt an, ob IP-Adressen für die TGS_REQ und das TGT-Feld Caddr überprüft werden.

  • Eintrag: NewConnectionTimeout

    • Typ: REG_DWORD

    • Standardwert: 10 (Sekunden)

      Dieser Wert ist die Zeit, zu der eine anfängliche TCP-Endpunktverbindung geöffnet bleibt, um Daten zu empfangen, bevor die Verbindung getrennt wird.

  • Eintrag: MaxDatagramReplySize

    • Typ: REG_DWORD

    • Standardwert: 1465 (Dezimalzahl, Bytes)

      Dieser Wert ist die maximale UDP-Paketgröße in TGS_REP- und Authentifizierungsdienstantworten (AS_REP).This value is the maximum UDP packet size in TGS_REP and Authentication Service Replies (AS_REP). Wenn die Paketgröße diesen Wert überschreitet, gibt der KDC eine "KRB_ERR_RESPONSE_TOO_BIG"-Meldung zurück, die anfordert, dass der Client zu TCP wechselt.

      Hinweis

      Das Erhöhen von MaxDatagramReplySize kann die Wahrscheinlichkeit erhöhen, dass Kerberos-UDP-Pakete fragmentiert werden.

      Weitere Informationen zu diesem Problem finden Sie unter Erzwingen der Verwendung von TCP anstelle von UDP durch Kerberos in Windows.

  • Eintrag: KdcExtraLogLevel

    • Typ: REG_DWORD

    • Standardwert: 2

    • Mögliche Werte:

      • 1 (dezimal) oder 0x1 (hexadezimal): Überwachen Sie unbekannte SPN-Fehler im Sicherheitsereignisprotokoll. Die Ereignis-ID 4769 wird mit einer fehlgeschlagenen Überwachung protokolliert.
      • 2 (dezimal) oder 0x2 (hexadezimal): Protokollieren sie PKINIT-Fehler. Dadurch wird eine KDC-Warnungsereignis-ID 21 (standardmäßig aktiviert) im Systemereignisprotokoll protokolliert. PKINIT ist ein Internetentwurf der Internet Engineering Task Force (IETF) für Die Kryptografie mit öffentlichem Schlüssel für die Erstauthentifizierung in Kerberos.
      • 4 (dezimal) oder 0x4 (hexadezimal): Protokollieren Sie alle KDC-Fehler. Dadurch wird eine KDC-Ereignis-ID 24 (Beispiel für U2U-erforderliche Probleme) im Systemereignisprotokoll protokolliert.
      • 8 (dezimal) oder 0x8 (hexadezimal): Protokollieren Sie eine KDC-Warnungsereignis-ID 25 im Systemprotokoll, wenn der Benutzer, der nach dem S4U2Self-Ticket fragt, keinen ausreichenden Zugriff auf den Zielbenutzer hat.
      • 16 (dezimal) oder 0x10 (hexadezimal): Protokollieren von Überwachungsereignissen beim Verschlüsselungstyp (ETYPE) und Fehlern aufgrund fehlerhafter Optionen. Dieser Wert gibt an, welche Informationen das KDC in Ereignisprotokolle und Überwachungen im Sicherheitsereignisprotokoll schreibt. Die Ereignis-ID 4769 wird mit einer fehlgeschlagenen Überwachung protokolliert.