SystemtippDieser Artikel bezieht sich auf ein anderes Betriebssystem als das von Ihnen verwendete. Für Sie möglicherweise nicht relevante Artikelinhalte wurden deaktiviert.
Dieser Artikel enthält Informationen zu Registrierungseinträgen, die sich auf das Authentifizierungsprotokoll Kerberos Version 5 in Microsoft Windows Server 2003 beziehen.
Kerberos ist ein Authentifizierungsmechanismus, der verwendet wird, um zu überprüfen, Benutzer oder Host Identität. Kerberos ist die bevorzugte Authentifizierungsmethode für Dienste in Windows Server 2003.
Wenn Sie Windows Server 2003 ausführen, können Sie Kerberos-Parameter zur Behandlung von Kerberos ändern Authentifizierungsprobleme oder um das Kerberos-Protokoll zu testen. Zu diesem Zweck hinzufügen oder ändern Sie die Registrierungseinträge, die in der "Weitere Informationen" aufgelisteten Abschnitt.
Wichtig In diesem Abschnitt, der Methode oder des Vorgangs enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Daher stellen Sie sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie diese bearbeiten. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie die folgende KB-Artikelnummer:
322756
(http://support.microsoft.com/kb/322756/
)
Zum Sichern und Wiederherstellen der Registrierung in Windows
Hinweis: Nach Abschluss der Problembehandlung oder testen die Kerberos-Protokoll, entfernen Sie alle Registrierungseinträge, die Sie hinzufügen. Andernfalls kann die Leistung des Computers beeinträchtigt werden.
Dieser Wert ist die maximale Zeitabweichung, die darf zwischen dem Clientcomputer und dem Server, die akzeptiert Kerberos-Authentifizierung. In Windows 2000 überprüft Build-Version, die Standardeinstellung SkewTime Wert 2 Stunden ist.
Hinweis: Eine getestetes Build-Version von Windows-Betriebssystems wird in der Produktion und Testumgebungen verwendet. (Ein getestetes Build ist auch bekannt als eine Debugversion.) Ein getestetes Build hat viele deaktiviert Compileroptimierungen. Dadurch erstellt Art der Ablaufverfolgung hilft die Ursache von Problemen im Systemsoftware. Ein getestetes Build aktiviert viele Debuggen Überweisungen in den Betriebssystem-Code und die Systemtreiber. Diese Debuggen Prüfungen helfen das getestete Build interne Inkonsistenzen zu erkennen, sobald Sie auftreten. Ein getestetes Build größer und langsamer als eine Endbenutzer-Version von Windows ausgeführt wird.
Eine durch den Endbenutzer-Version von Windows ist auch bekannt als einem freien Build-Version oder eine Verkaufsversion Version. In einem freien Buildversion Debuginformationen entfernt ist, und Windows wird mit vollständigen Compileroptimierungen erstellt. Eine freien Build-Version ist schneller und benötigt weniger Speicher als ein getestetes Build-Version.
Eintrag: LogLevel Typ: REG_DWORD Standardwert: 0
Dieser Wert gibt an, ob Ereignisse in das Systemereignisprotokoll protokolliert werden. Wenn dieser Wert auf einen beliebigen Wert ungleich 0 (null) festgelegt ist, werden alle Kerberos-bezogene Ereignisse im Systemereignisprotokoll protokolliert.
Dies ist der Timeout-Wert, der verwendet wird, um einen Domänencontroller von einem anderen Standort in der Domäne-Controller-Cache für ungültig zu erklären.
Dieser Wert ist eine Liste von Flags, die den Typ angeben und die Protokollierungsstufe, die angefordert wird. Diese Art der Protokollierung kann auf der Komponentenebene von Kerberos gesammelt werden, durch bitweise oder von einer oder mehreren der Makros, die in der folgenden Tabelle beschrieben werden.
Tabelle minimierenTabelle vergrößern
Makroname
Wert
Hinweis:
DEB_ERROR
0 x 00000001
Dies ist die Standardeinstellung InfoLevel für checked Builds. Dies erzeugt Fehlermeldungen über Komponenten.
DEB_WARN
0 x 00000002
Dieses Makro erzeugt Warnmeldungen über Komponenten. In einigen Fällen können dieser Meldungen ignoriert werden.
DEB_TRACE
0 x 00000004
Mit diesem Makro können allgemeine Ablaufverfolgung Ereignisse.
DEB_TRACE_API
0 x 00000008
Mit diesem Makro können Benutzer API-Ablaufverfolgung Ereignisse, die in der Regel protokolliert werden, auf den Eintrag und Exit ein, um zu einer extern exportierten Funktion, die über SSPI implementiert wird.
DEB_TRACE_CRED
0 x 00000010
Dieses Makro ermöglicht das Verfolgen von Anmeldeinformationen.
DEB_TRACE_CTXT
0 x 00000020
Mit diesem Makro können Kontext Ablaufverfolgung.
DEB_TRACE_LSESS
0x00000040
Mit diesem Makro können Anmeldung Sitzung Ablaufverfolgung.
DEB_TRACE_TCACHE
0x00000080
Nicht implementiert
DEB_TRACE_LOGON
0 x 00000100
Mit diesem Makro können Anmeldung Ablaufverfolgung wie z. B. in LsaApLogonUserEx2().
DEB_TRACE_KDC
0x00000200
Mit diesem Makro können Ablaufverfolgung vor und nach dem Aufrufen von KerbMakeKdcCall().
DEB_TRACE_CTXT2
0 x 00000400
Mit diesem Makro können zusätzlichen Kontext Ablaufverfolgung.
DEB_TRACE_TIME
0x00000800
Mit diesem Makro können die Zeit, die Neigung Ablaufverfolgung, die in Timesync.cxx gefunden wird.
DEB_TRACE_USER
0 x 00001000
Mit diesem Makro können Benutzer API-Ablaufverfolgung, die zusammen mit DEB_TRACE_API verwendet wird und hauptsächlich in Userapi.cxx befindet.
DEB_TRACE_LEAKS
0x00002000
DEB_TRACE_SOCK
0x00004000
Mit diesem Makro können Winsock-bezogene Ereignisse.
DEB_TRACE_SPN_CACHE
0x00008000
Mit diesem Makro können Ereignisse, die mit der SPN-Cache-Treffer und erfolglose Zugriffe zusammenhängen.
Dieser Wert ist die Lebensdauer des S4U negative Cacheeinträge, die verwendet werden, um die Anzahl der S4U-Proxyanforderungen von einem bestimmten Computer beschränken.
Dieser Wert ist der Gültigkeitsdauer von Tickets, die durch S4U-Proxyanforderungen ermittelt werden.
Eintrag: RetryPdc Typ: REG_DWORD Standardwert: 0 (false) Mögliche Werte: 0 (False) oder einen beliebigen Wert ungleich Null (WAHR)
Dieser Wert gibt an, ob der Client den primäre Domänencontroller für Authentication Service-Anforderungen (AS_REQ) wird Wenn, wenden Sie sich an der Client einen Kennwort Ablauf Fehler empfängt.
Eintrag: RequestOptions Typ: REG_DWORD Wert Standard: Alle RFC-1510-Wert
Dieser Wert gibt an, ob es sind zusätzliche Optionen, die als Optionen im KDC gesendet werden müssen, Ticket-Granting Service (TGS_REQ) anfordert.
Eintrag: ClientIpAddress Typ: REG_DWORD Standard-Wert: 0 (diese Einstellung ist 0, wegen der Dynamic Host Configuration-Protokoll und Netzwerk Übersetzung Sicherheitsprobleme). Mögliche Werte: 0 (False) oder einen beliebigen Wert ungleich Null (WAHR)
Dieser Wert gibt an, ob eine Client-IP-Adresse in AS_REQ, um das Feld Caddr IP-Adressen in alle Tickets enthalten erzwingen hinzugefügt wird.
Dieser Wert ist die Zeit, die Kerberos-wartet, bevor es versucht, ein TGT (Ticket Granting Ticket) zu erneuern, bevor das Ticket abgelaufen ist.
Eintrag: AllowTgtSessionKey Typ: REG_DWORD Wert Standard: 0 Mögliche Werte: 0 (False) oder einen beliebigen Wert ungleich Null (WAHR)
Dieser Wert gibt an, ob Sitzungsschlüssel mit dem ursprünglichen oder exportiert werden cross-Realm TGT Authentifizierung. Der Standardwert ist false aus Sicherheitsgründen.
Dieser Wert ist die maximale UDP-Paketgröße in TGS_REP und AS_REP (Authentication Service Antworten) Nachrichten. Wenn die Paketgröße diesen Wert überschreitet, gibt das KDC eine KRB_ERR_RESPONSE_TOO_BIG-Nachricht, die fordert, dass der Client zu TCP wechseln Sie zurück.
Hinweis: Erhöhen der MaxDatagramReplySize kann die Wahrscheinlichkeit, dass Kerberos UDP-Pakete fragmentiert wird erhöht.
Weitere Informationen zu diesem Problem finden Sie die folgende KB-Artikelnummer:
244474
(http://support.microsoft.com/kb/244474/
)
So erzwingen Sie, dass Kerberos, TCP anstelle von UDP in Windows verwenden
1 (dezimal) oder 0 x 1 (hexadezimal): Überwachung SPN Unbekannter Fehler.
2 (dezimal) oder 0 x 2 (hexadezimal): Protokoll PKINIT-Fehler. (PKINIT ist ein Internet Engineering Task Force (IETF) Internetentwurf für "Public Key Cryptography für Initial Authentication in Kerberos.")
4 (dezimal) oder 0 x 4 (hexadezimal): alle KDC protokolliert Fehler.
8 (dezimal) oder 0 x 8 (hexadezimal): Protokoll KDC Warnereignis 25 in das Systemprotokoll, wenn Benutzer mit der Frage für S4U2Self Ticket nicht ausreichende Zugriffsrechte für Zielbenutzer verfügt.
16 (dezimal) oder 0 x 10 (hexadezimal): Überwachungsereignisse auf den Verschlüsselungstyp (ETYPE) und ungültige Optionen Fehler protokollieren.
Dieser Wert gibt an, welche Informationen das KDC auf Ereignisprotokolle und zu schreiben wird überwacht.
Eintrag: KdcDebugLevel Typ: REG_DWORD Wert Standard: 1 für getestetes Build, 0 für freien Build
Dieser Wert gibt an, ob die Debugprotokollierung aktiviert (1) ist oder deaktiviert (0).
Wenn der Wert auf 0x10000000 (hexadezimal) oder 268435456 (dezimal) festgelegt ist, werden bestimmte Informationen für Datei oder Zeile im Feld Edata in KERB_ERRORS als PKERB_EXT_ERROR Fehler während eines Verarbeitungsfehlers KDC zurückgegeben.
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 837361
(http://support.microsoft.com/kb/837361/en-us/
)
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Bitte geben Sie Ihr Feedback zu diesem Artikel ab
Hat dieser Artikel bei der Lösung Ihres Problems geholfen?
Ja
Nein
Ich weiß nicht
Waren die Informationen für Ihr Problem relevant?
Ja
Nein
Wie hoch war der Aufwand für Sie persönlich, um diesen Artikel zu verwenden?
Sehr gering
Gering
Mäßig
Hoch
Sehr hoch
Wie könnte man den Artikelinhalt verbessern?
Hinweis: Leider können wir keine Kommentare persönlich beantworten.
Danke! Dieses Feedback hilft uns dabei, die Supportartikel weiter zu verbessern. Weitere Informationen finden Sie auf der Hilfe und Support-Startseite.
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Maschinell übersetzter Artikel
Zum Anfang
