KDC-Konfigurationsschlüssel in Windows Server 2003 und Kerberos-Protokoll-Registrierungseinträge

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 837361 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel enthält Informationen zu Registrierungseinträgen, die sich auf das Authentifizierungsprotokoll Kerberos Version 5 in Microsoft Windows Server 2003 beziehen.

EINFÜHRUNG IN

Kerberos ist ein Authentifizierungsmechanismus, der verwendet wird, um zu überprüfen, Benutzer oder Host Identität. Kerberos ist die bevorzugte Authentifizierungsmethode für Dienste in Windows Server 2003.

Wenn Sie Windows Server 2003 ausführen, können Sie Kerberos-Parameter zur Behandlung von Kerberos ändern Authentifizierungsprobleme oder um das Kerberos-Protokoll zu testen. Zu diesem Zweck hinzufügen oder ändern Sie die Registrierungseinträge, die in der "Weitere Informationen" aufgelisteten Abschnitt.

Weitere Informationen

Wichtig In diesem Abschnitt, der Methode oder des Vorgangs enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Daher stellen Sie sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie diese bearbeiten. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie die folgende KB-Artikelnummer:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows
Hinweis: Nach Abschluss der Problembehandlung oder testen die Kerberos-Protokoll, entfernen Sie alle Registrierungseinträge, die Sie hinzufügen. Andernfalls kann die Leistung des Computers beeinträchtigt werden.

Registrierungseinträge und Werte unter dem Schlüssel Parameter

Die Registrierungseinträge, die in diesem Abschnitt aufgeführt sind, müssen zum folgenden Unterschlüssel Registrierung hinzugefügt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Hinweis: Wenn der Schlüssel Parameters unter Kerberos nicht aufgeführt ist, müssen Sie den Schlüssel erstellen.
  • Eintrag: SkewTime
    Typ: REG_DWORD
    Standardwert: 5 (Minuten)

    Dieser Wert ist die maximale Zeitabweichung, die darf zwischen dem Clientcomputer und dem Server, die akzeptiert Kerberos-Authentifizierung. In Windows 2000 überprüft Build-Version, die Standardeinstellung SkewTime Wert 2 Stunden ist.

    Hinweis: Eine getestetes Build-Version von Windows-Betriebssystems wird in der Produktion und Testumgebungen verwendet. (Ein getestetes Build ist auch bekannt als eine Debugversion.) Ein getestetes Build hat viele deaktiviert Compileroptimierungen. Dadurch erstellt Art der Ablaufverfolgung hilft die Ursache von Problemen im Systemsoftware. Ein getestetes Build aktiviert viele Debuggen Überweisungen in den Betriebssystem-Code und die Systemtreiber. Diese Debuggen Prüfungen helfen das getestete Build interne Inkonsistenzen zu erkennen, sobald Sie auftreten. Ein getestetes Build größer und langsamer als eine Endbenutzer-Version von Windows ausgeführt wird.

    Eine durch den Endbenutzer-Version von Windows ist auch bekannt als einem freien Build-Version oder eine Verkaufsversion Version. In einem freien Buildversion Debuginformationen entfernt ist, und Windows wird mit vollständigen Compileroptimierungen erstellt. Eine freien Build-Version ist schneller und benötigt weniger Speicher als ein getestetes Build-Version.
  • Eintrag: LogLevel
    Typ: REG_DWORD
    Standardwert: 0

    Dieser Wert gibt an, ob Ereignisse in das Systemereignisprotokoll protokolliert werden. Wenn dieser Wert auf einen beliebigen Wert ungleich 0 (null) festgelegt ist, werden alle Kerberos-bezogene Ereignisse im Systemereignisprotokoll protokolliert.
  • Eintrag: MaxPacketSize
    Typ: REG_DWORD
    Wert Standard: 1465 (Bytes)

    Dieser Wert ist die maximale User Datagram Protocol (UDP)-Paketgröße. Wenn die Größe des Pakets über diesem Wert liegt, wird TCP verwendet.
  • Eintrag: StartupTime
    Typ: REG_DWORD
    Standardwert: 120 (Sekunden)

    Dieser Wert ist die Zeit, die Windows, für das Schlüsselverteilungscenter (KDC wartet) starten, bevor Windows bietet einrichten.
  • Eintrag: KdcWaitTime
    Typ: REG_DWORD
    Standardwert: 10 (Sekunden)

    Dieser Wert ist die Zeit, die Windows wartet, bis eine Antwort von einem KDC.
  • Eintrag: KdcBackoffTime
    Typ: REG_DWORD
    Wert Standard: 10 (Sekunden)


    Dieser Wert ist der Zeitraum zwischen aufeinander folgenden Aufrufen an das KDC, wenn der vorherige Aufruf fehlgeschlagen ist.
  • Eintrag: KdcSendRetries
    Typ: REG_DWORD
    Wert Standard: 3

    Dieser Wert ist die Anzahl der Fälle, in denen ein Client versucht, einen KDC in Verbindung setzen.
  • Eintrag: DefaultEncryptionType
    Typ: REG_DWORD
    Standardwert: 23 (dezimal) oder 0x17 (hexadezimal)

    Dieser Wert gibt den Standardtyp für die Verschlüsselung für Vorauthentifizierung an.
  • Eintrag: FarKdcTimeout
    Typ: REG_DWORD
    Wert Standard: 10 (Minuten)

    Dies ist der Timeout-Wert, der verwendet wird, um einen Domänencontroller von einem anderen Standort in der Domäne-Controller-Cache für ungültig zu erklären.
  • Eintrag: NearKdcTimeout
    Typ: REG_DWORD
    Wert Standard: 30 (Minuten)

    Dies ist der Timeout-Wert, der verwendet wird, um einen Domänencontroller am selben Standort in der Domäne-Controller-Cache für ungültig zu erklären.
  • Eintrag: StronglyEncryptDatagram
    Typ: REG_BOOL
    Standardwert: FALSE

    Dieser Wert enthält ein Flag, das angibt, ob für Datenpakete, die 128-Bit-Verschlüsselung verwendet werden soll.
  • Eintrag: MaxReferralCount
    Typ: REG_DWORD
    Wert Standard: 6

    Dieser Wert ist die Anzahl der KDC-Verweise, die ein Client bevor der Client erhält bis pursues.
  • Eintrag: KerbDebugLevel
    Typ: REG_DWORD
    Standard-Wert: 0xFFFFFFFF

    Dieser Wert ist eine Liste von Flags, die den Typ angeben und die Protokollierungsstufe, die angefordert wird. Diese Art der Protokollierung kann auf der Komponentenebene von Kerberos gesammelt werden, durch bitweise oder von einer oder mehreren der Makros, die in der folgenden Tabelle beschrieben werden.
    Tabelle minimierenTabelle vergrößern
    MakronameWertHinweis:
    DEB_ERROR0 x 00000001Dies ist die Standardeinstellung InfoLevel für checked Builds. Dies erzeugt Fehlermeldungen über Komponenten.
    DEB_WARN0 x 00000002Dieses Makro erzeugt Warnmeldungen über Komponenten. In einigen Fällen können dieser Meldungen ignoriert werden.
    DEB_TRACE0 x 00000004Mit diesem Makro können allgemeine Ablaufverfolgung Ereignisse.
    DEB_TRACE_API0 x 00000008Mit diesem Makro können Benutzer API-Ablaufverfolgung Ereignisse, die in der Regel protokolliert werden, auf den Eintrag und Exit ein, um zu einer extern exportierten Funktion, die über SSPI implementiert wird.
    DEB_TRACE_CRED0 x 00000010Dieses Makro ermöglicht das Verfolgen von Anmeldeinformationen.
    DEB_TRACE_CTXT0 x 00000020Mit diesem Makro können Kontext Ablaufverfolgung.
    DEB_TRACE_LSESS0x00000040Mit diesem Makro können Anmeldung Sitzung Ablaufverfolgung.
    DEB_TRACE_TCACHE0x00000080Nicht implementiert
    DEB_TRACE_LOGON0 x 00000100Mit diesem Makro können Anmeldung Ablaufverfolgung wie z. B. in LsaApLogonUserEx2().
    DEB_TRACE_KDC0x00000200Mit diesem Makro können Ablaufverfolgung vor und nach dem Aufrufen von KerbMakeKdcCall().
    DEB_TRACE_CTXT20 x 00000400Mit diesem Makro können zusätzlichen Kontext Ablaufverfolgung.
    DEB_TRACE_TIME0x00000800Mit diesem Makro können die Zeit, die Neigung Ablaufverfolgung, die in Timesync.cxx gefunden wird.
    DEB_TRACE_USER0 x 00001000Mit diesem Makro können Benutzer API-Ablaufverfolgung, die zusammen mit DEB_TRACE_API verwendet wird und hauptsächlich in Userapi.cxx befindet.
    DEB_TRACE_LEAKS0x00002000
    DEB_TRACE_SOCK0x00004000Mit diesem Makro können Winsock-bezogene Ereignisse.
    DEB_TRACE_SPN_CACHE0x00008000Mit diesem Makro können Ereignisse, die mit der SPN-Cache-Treffer und erfolglose Zugriffe zusammenhängen.
    DEB_S4U_ERROR0 x 00010000Nicht implementiert
    DEB_TRACE_S4U0 x 00020000
    DEB_TRACE_BND_CACHE0 x 00040000
    DEB_TRACE_LOOPBACK0 x 00080000
    DEB_TRACE_TKT_RENEWAL0x00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000Nicht implementiert
  • Eintrag: MaxTokenSize
    Typ: REG_DWORD
    Standardwert: 12000 (dezimal)

    Dieser Wert ist der maximale Wert des Kerberos-Token. Microsoft empfiehlt, dass Sie diesen Wert auf kleiner als 65535 festgelegt.
  • Eintrag: SpnCacheTimeout
    Typ: REG_DWORD
    Wert Standard: 15 Minuten

    Dieser Wert ist die Lebensdauer der Cacheeinträge Dienstprinzipalnamen (SPN). Der SPN-Cache ist auf Domänencontrollern deaktiviert.
  • Eintrag: S4UCacheTimeout
    Typ: REG_DWORD
    Wert Standard: 15 Minuten

    Dieser Wert ist die Lebensdauer des S4U negative Cacheeinträge, die verwendet werden, um die Anzahl der S4U-Proxyanforderungen von einem bestimmten Computer beschränken.
  • Eintrag: S4UTicketLifetime
    Typ: REG_DWORD
    Wert Standard: 15 Minuten

    Dieser Wert ist der Gültigkeitsdauer von Tickets, die durch S4U-Proxyanforderungen ermittelt werden.
  • Eintrag: RetryPdc
    Typ: REG_DWORD
    Standardwert: 0 (false)
    Mögliche Werte: 0 (False) oder einen beliebigen Wert ungleich Null (WAHR)

    Dieser Wert gibt an, ob der Client den primäre Domänencontroller für Authentication Service-Anforderungen (AS_REQ) wird Wenn, wenden Sie sich an der Client einen Kennwort Ablauf Fehler empfängt.
  • Eintrag: RequestOptions
    Typ: REG_DWORD
    Wert Standard: Alle RFC-1510-Wert

    Dieser Wert gibt an, ob es sind zusätzliche Optionen, die als Optionen im KDC gesendet werden müssen, Ticket-Granting Service (TGS_REQ) anfordert.
  • Eintrag: ClientIpAddress
    Typ: REG_DWORD
    Standard-Wert: 0 (diese Einstellung ist 0, wegen der Dynamic Host Configuration-Protokoll und Netzwerk Übersetzung Sicherheitsprobleme).
    Mögliche Werte: 0 (False) oder einen beliebigen Wert ungleich Null (WAHR)

    Dieser Wert gibt an, ob eine Client-IP-Adresse in AS_REQ, um das Feld Caddr IP-Adressen in alle Tickets enthalten erzwingen hinzugefügt wird.
  • Eintrag: TgtRenewalTime
    Typ: REG_DWORD
    Wert Standard: 600 Sekunden

    Dieser Wert ist die Zeit, die Kerberos-wartet, bevor es versucht, ein TGT (Ticket Granting Ticket) zu erneuern, bevor das Ticket abgelaufen ist.
  • Eintrag: AllowTgtSessionKey
    Typ: REG_DWORD
    Wert Standard: 0
    Mögliche Werte: 0 (False) oder einen beliebigen Wert ungleich Null (WAHR)

    Dieser Wert gibt an, ob Sitzungsschlüssel mit dem ursprünglichen oder exportiert werden cross-Realm TGT Authentifizierung. Der Standardwert ist false aus Sicherheitsgründen.

Registrierungseinträge und Werte unter dem KDC-Schlüssel

Die Registrierungseinträge, die in diesem Abschnitt aufgeführt sind, müssen zum folgenden Unterschlüssel Registrierung hinzugefügt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Hinweis: Wenn Sie der KDC-Schlüssel unter Dienste nicht aufgeführt wird, müssen Sie den Schlüssel erstellen.
  • Eintrag: KdcUseClientAddresses
    Typ: REG_DWORD
    Standardwert: 0
    Mögliche Werte: 0 (False) oder einen beliebigen Wert ungleich Null (WAHR)

    Dieser Wert gibt an, ob IP-Adressen in TGS_REP (Ticket-Granting Service Antworten) hinzugefügt werden.
  • Eintrag: KdcDontCheckAddresses
    Typ: REG_DWORD
    Standardwert: 1
    Mögliche Werte: 0 (False) oder einen beliebigen Wert ungleich Null (WAHR)

    Dieser Wert gibt an, ob IP-Adressen für die TGS_REQ und das TGT Caddr Feld überprüft werden.
  • Eintrag: NewConnectionTimeout
    Typ: REG_DWORD
    Standardwert: 10 (Sekunden)

    Dieser Wert ist die Zeit, die eine TCP-Endpunkt Anfangsverbindung zum Empfangen von Daten verbleiben, bevor Sie getrennt wird geöffnet.
  • Eintrag: MaxDatagramReplySize
    Typ: REG_DWORD
    Standardwert: 1465 (dezimal Bytes)

    Dieser Wert ist die maximale UDP-Paketgröße in TGS_REP und AS_REP (Authentication Service Antworten) Nachrichten. Wenn die Paketgröße diesen Wert überschreitet, gibt das KDC eine KRB_ERR_RESPONSE_TOO_BIG-Nachricht, die fordert, dass der Client zu TCP wechseln Sie zurück.

    Hinweis: Erhöhen der MaxDatagramReplySize kann die Wahrscheinlichkeit, dass Kerberos UDP-Pakete fragmentiert wird erhöht.

    Weitere Informationen zu diesem Problem finden Sie die folgende KB-Artikelnummer:
    244474So erzwingen Sie, dass Kerberos, TCP anstelle von UDP in Windows verwenden
  • Eintrag: KdcExtraLogLevel
    Typ: REG_DWORD
    Wert Standard: 2
    Mögliche Werte:
    • 1 (dezimal) oder 0 x 1 (hexadezimal): Überwachung SPN Unbekannter Fehler.
    • 2 (dezimal) oder 0 x 2 (hexadezimal): Protokoll PKINIT-Fehler. (PKINIT ist ein Internet Engineering Task Force (IETF) Internetentwurf für "Public Key Cryptography für Initial Authentication in Kerberos.")
    • 4 (dezimal) oder 0 x 4 (hexadezimal): alle KDC protokolliert Fehler.
    • 8 (dezimal) oder 0 x 8 (hexadezimal): Protokoll KDC Warnereignis 25 in das Systemprotokoll, wenn Benutzer mit der Frage für S4U2Self Ticket nicht ausreichende Zugriffsrechte für Zielbenutzer verfügt.
    • 16 (dezimal) oder 0 x 10 (hexadezimal): Überwachungsereignisse auf den Verschlüsselungstyp (ETYPE) und ungültige Optionen Fehler protokollieren.
    Dieser Wert gibt an, welche Informationen das KDC auf Ereignisprotokolle und zu schreiben wird überwacht.
  • Eintrag: KdcDebugLevel
    Typ: REG_DWORD
    Wert Standard: 1 für getestetes Build, 0 für freien Build

    Dieser Wert gibt an, ob die Debugprotokollierung aktiviert (1) ist oder deaktiviert (0).

    Wenn der Wert auf 0x10000000 (hexadezimal) oder 268435456 (dezimal) festgelegt ist, werden bestimmte Informationen für Datei oder Zeile im Feld Edata in KERB_ERRORS als PKERB_EXT_ERROR Fehler während eines Verarbeitungsfehlers KDC zurückgegeben.

Eigenschaften

Artikel-ID: 837361 - Geändert am: Freitag, 11. April 2008 - Version: 5.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Keywords: 
kbmt kbwinservnetwork kbsecurityservices kbregistry kbinfo KB837361 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 837361
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com