Las entradas del registro de protocolo de Kerberos KDC claves de configuración y en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 837361 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo contiene información acerca de las entradas del Registro relacionadas con el versión de protocolo de autenticación Kerberos 5 en Microsoft Windows Server 2003.

INTRODUCCIÓN

Kerberos es un mecanismo de autenticación que se utiliza para comprobar la identidad de usuario o host. Kerberos es el método de autenticación preferido para los servicios en Windows Server 2003.

Si está ejecutando Windows Server 2003, puede modificar parámetros de Kerberos para ayudar a solucionar problemas de Kerberos a problemas de autenticación o para probar el protocolo Kerberos. Para ello, agregar o modificar las entradas del registro que se enumeran en el "más información" sección.

Más información

Importante Esta sección, método o de tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo hacer copia de seguridad y restaurar el registro de Windows
Nota Cuando haya terminado de solucionar problemas o probar el Kerberos de protocolo, quite las entradas del registro que agregue. De lo contrario, puede verse afectado el rendimiento del equipo.

Entradas del registro y los valores de la clave Parameters

Las entradas del registro que se enumeran en esta sección deben agregarse a la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nota Si no se enumera la clave Parameters en Kerberos, debe crear la clave.
  • Entrada: SkewTime
    Tipo: REG_DWORD
    Valor predeterminado: 5 (minutos)

    Este valor es la diferencia de tiempo máximo permitido entre el equipo cliente y el servidor que acepta Kerberos autenticación. En Windows 2000 comprueban la versión de compilación, el valor predeterminado de SkewTime valor es 2 horas.

    Nota Se utiliza una versión de compilación comprobada del sistema operativo Windows en entornos de pruebas y producción. (Una compilación comprobada también conocido como es una versión de depuración). Una compilación comprobada tiene muchas optimizaciones del compilador desactivadas. De este tipo de generación seguimiento ayuda a la causa de problemas del software de sistema. Activa una compilación comprobada de muchas comprobaciones de depuración en el código del sistema operativo y en los controladores del sistema. Estas comprobaciones de depuración ayudan a la compilación comprobada Identificar incoherencias internas en cuanto se produzcan. Una compilación comprobada es mayor y es más lenta para ejecutar de una versión de Windows para el usuario final.

    Una versión de Windows para el usuario final también conocido como es una versión de compilación libre o una versión de la versión comercial. En una versión de compilación libre, se quita la información de depuración, y Windows se genera con las optimizaciones del compilador completa. Una versión de compilación libre es más rápida y utiliza menos memoria que una versión de compilación comprobada.
  • Entrada: LogLevel
    Tipo: REG_DWORD
    Valor predeterminado: 0

    Este valor indica si los eventos se registran en el registro de sucesos del sistema. Si este valor se establece en cualquier valor distinto de cero, todos los eventos relacionados con Kerberos se registran en el registro de sucesos del sistema.
  • Entrada: MaxPacketSize
    Tipo: REG_DWORD
    Valor predeterminado: 1465 (bytes)

    Este valor es el protocolo de datagramas de usuario máximo tamaño de paquete (UDP). Si el tamaño del paquete supera este valor, se utiliza TCP.
  • Entrada: StartupTime
    Tipo: REG_DWORD
    Valor predeterminado: 120 (segundos)

    Este valor es el tiempo que Windows espera para el Centro de distribución de claves (KDC) iniciar antes de que Windows le ofrece hacia arriba.
  • Entrada: KdcWaitTime
    Tipo: REG_DWORD
    Valor predeterminado: 10 (segundos)

    Este valor es el tiempo de que espera una respuesta desde un KDC de Windows.
  • Entrada: KdcBackoffTime
    Tipo: REG_DWORD
    Valor predeterminado: 10 (segundos)


    Este valor es el tiempo entre sucesivas llamadas al KDC si falla la llamada anterior.
  • Entrada: KdcSendRetries
    Tipo: REG_DWORD
    Valor predeterminado: 3

    Este valor es el número de veces que un cliente tratará de ponerse en contacto con un KDC.
  • Entrada: DefaultEncryptionType
    Tipo: REG_DWORD
    Valor predeterminado: 23 (decimal) o 0x17 (hexadecimal)

    Este valor indica el tipo de cifrado predeterminado para la autenticación previa.
  • Entrada: FarKdcTimeout
    Tipo: REG_DWORD
    Valor predeterminado: 10 (minutos)

    Éste es el valor de tiempo de espera que se utiliza para invalidar un controlador de dominio desde un sitio diferente en la caché de controlador de dominio.
  • Entrada: NearKdcTimeout
    Tipo: REG_DWORD
    Valor predeterminado: 30 (minutos)

    Éste es el valor de tiempo de espera que se utiliza para invalidar un controlador de dominio en el mismo sitio en la caché de controlador de dominio.
  • Entrada: StronglyEncryptDatagram
    Tipo: REG_BOOL
    Valor predeterminado: falso

    Este valor contiene un indicador que indica si se utiliza cifrado de 128 bits para paquetes de datagramas.
  • Entrada: MaxReferralCount
    Tipo: REG_DWORD
    Valor predeterminado: 6

    Este valor es el número de referencias de KDC que un cliente pursues antes el proporciona cliente hacia arriba.
  • Entrada: KerbDebugLevel
    Tipo: REG_DWORD
    Valor predeterminado: 0xFFFFFFFF

    Este valor es una lista de indicadores que indican el tipo y el nivel de registro se solicita. Este tipo de registro se puede recopilar en el nivel de componente de Kerberos por bit a bit o por uno o más de las macros que se describen en la tabla siguiente.
    Contraer esta tablaAmpliar esta tabla
    Nombre de macroValorNota
    DEB_ERROR0 x 00000001Éste es el valor predeterminado InfoLevel para compilaciones comprobadas. Esto genera mensajes de error a través de componentes.
    DEB_WARN0 x 00000002Esta macro genera mensajes de advertencia a través de componentes. En algunos casos, se pueden pasar por alto estos mensajes.
    DEB_TRACE0 x 00000004Esta macro permite a los eventos de seguimiento general.
    DEB_TRACE_API0 x 00000008Esta macro permite eventos de seguimiento de API de usuario que se registran normalmente en movimiento y en la salida a una función exportada externamente que se implementa a través de SSPI.
    DEB_TRACE_CRED0 x 00000010Esta macro permite realizar un seguimiento de credenciales.
    DEB_TRACE_CTXT0 x 00000020Esta macro habilita el seguimiento de contexto.
    DEB_TRACE_LSESS0 x 00000040Esta macro habilita el seguimiento de sesión de inicio de sesión.
    DEB_TRACE_TCACHE0x00000080No implementado
    DEB_TRACE_LOGON0 x 00000100Esta macro habilita el seguimiento de inicio de sesión, como en LsaApLogonUserEx2().
    DEB_TRACE_KDC0x00000200Esta macro habilita el seguimiento de antes y después las llamadas a KerbMakeKdcCall().
    DEB_TRACE_CTXT20 x 00000400Esta macro habilita el seguimiento de contexto adicional.
    DEB_TRACE_TIME0x00000800Esta macro permite el tiempo sesgado de seguimiento que se encuentra en Timesync.cxx.
    DEB_TRACE_USER0 x 00001000Esta macro habilita el seguimiento de API de usuario que se utiliza junto con DEB_TRACE_API y que se encuentra principalmente en Userapi.cxx.
    DEB_TRACE_LEAKS0 x 00002000
    DEB_TRACE_SOCK0x00004000Esta macro permite sucesos relacionados con Winsock.
    DEB_TRACE_SPN_CACHE0x00008000Esta macro permite eventos que están relacionados con errores y aciertos de caché SPN.
    DEB_S4U_ERROR0 x 00010000No implementado
    DEB_TRACE_S4U0 x 00020000
    DEB_TRACE_BND_CACHE0 x 00040000
    DEB_TRACE_LOOPBACK0 x 00080000
    DEB_TRACE_TKT_RENEWAL0 x 00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000No implementado
  • Entrada: MaxTokenSize
    Tipo: REG_DWORD
    Valor predeterminado: 12000 (decimal)

    Este valor es el valor máximo de Kerberos el símbolo (token). Microsoft recomienda que establezca este valor menor que 65535.
  • Entrada: SpnCacheTimeout
    Tipo: REG_DWORD
    Valor predeterminado: 15 minutos

    Este valor es el período de duración de las entradas de caché de nombres principales de servicio (SPN). En los controladores de dominio, se deshabilita la caché SPN.
  • Entrada: S4UCacheTimeout
    Tipo: REG_DWORD
    Valor predeterminado: 15 minutos

    Este valor es el período de duración de las entradas de caché negativa de S4U que se utilizan para restringir el número de solicitudes de proxy de S4U desde un equipo determinado.
  • Entrada: S4UTicketLifetime
    Tipo: REG_DWORD
    Valor predeterminado: 15 minutos

    Este valor es el período de duración de los vales que se obtienen las solicitudes de proxy de S4U.
  • Entrada: RetryPdc
    Tipo: REG_DWORD
    Valor predeterminado: 0 (false)
    Posibles valores: 0 (false) o cualquier valor distinto de cero (verdadero)

    Este valor indica si el cliente pondrá en contacto con el controlador de dominio principal para solicitudes de servicio de autenticación (AS_REQ) si el cliente recibe un error de caducidad de contraseña.
  • Entrada: RequestOptions
    Tipo: REG_DWORD
    Valor predeterminado: Valor de cualquier RFC 1510

    Este valor indica que si hay opciones adicionales que deben enviarse como opciones de KDC en el servicio de concesión de vales solicita (TGS_REQ).
  • Entrada: ClientIpAddress
    Tipo: REG_DWORD
    De forma predeterminada valor: 0 (esta configuración es 0 debido a problemas de traducción de dirección de protocolo de configuración dinámica de host y red de).
    Posibles valores: 0 (false) o cualquier valor distinto de cero (verdadero)

    Este valor indica si se va a agregar una dirección IP del cliente en AS_REQ para forzar el campo Caddr para que contenga direcciones IP en todos los vales.
  • Entrada: TgtRenewalTime
    Tipo: REG_DWORD
    Valor predeterminado: 600 segundos

    Este valor es el tiempo que espera Kerberos antes de que intenta renovar un vale de concesión de vales (TGT) antes de que caduque el vale.
  • Entrada: AllowTgtSessionKey
    Tipo: REG_DWORD
    Valor predeterminado: 0
    Posibles valores: 0 (false) o cualquier valor distinto de cero (verdadero)

    Este valor indica si se exportan las claves de sesión o con inicial cruzada territorio TGT autenticación. El valor predeterminado es false por motivos de seguridad.

Entradas del registro y los valores bajo la clave de KDC

Las entradas del registro que se enumeran en esta sección deben agregarse a la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Nota Si la clave del KDC no aparece bajo Servicios, debe crear la clave.
  • Entrada: KdcUseClientAddresses
    Tipo: REG_DWORD
    Valor predeterminado: 0
    Posibles valores: 0 (false) o cualquier valor distinto de cero (true)

    Este valor indica si las direcciones IP se va a agregar en la respuesta de concesión de vales de servicio (TGS_REP).
  • Entrada: KdcDontCheckAddresses
    Tipo: REG_DWORD
    Valor predeterminado: 1
    Posibles valores: 0 (false) o cualquier valor distinto de cero (true)

    Este valor indica si se comprobarán las direcciones IP para el TGS_REQ y el campo TGT Caddr.
  • Entrada: NewConnectionTimeout
    Tipo: REG_DWORD
    Valor predeterminado: 10 (segundos)

    Este valor es el tiempo que una conexión de extremo inicial de TCP se mantendrán abierta para recibir datos antes de que desconecte.
  • Entrada: MaxDatagramReplySize
    Tipo: REG_DWORD
    Valor predeterminado: 1465 (decimales, bytes)

    Este valor es el tamaño de paquete UDP máximo en mensajes TGS_REP y respuestas de servicio de autenticación (AS_REP). Si el tamaño del paquete supera este valor, el KDC devuelve un mensaje KRB_ERR_RESPONSE_TOO_BIG que solicita que el cliente cambie a TCP.

    Nota Aumentar MaxDatagramReplySize puede aumentar la probabilidad de fragmentación de paquetes de Kerberos UDP.

    Para obtener información adicional acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    244474Cómo hacer que Kerberos use TCP en lugar de UDP en Windows
  • Entrada: KdcExtraLogLevel
    Tipo: REG_DWORD
    Valor predeterminado: 2
    Valores posibles:
    • 1 (decimal) o 0 x 1 (hexadecimal): auditoría SPN errores desconocidos.
    • 2 (decimal) o 0 x 2 (hexadecimal): errores de registro PKINIT. (PKINIT es un borrador de Internet de Internet Engineering Task Force (IETF) para "Public Key Cryptography para la autenticación inicial en Kerberos".)
    • 4 (decimal) o 0 x 4 (hexadecimal): iniciar KDC todos los errores.
    • 8 (decimal) o 0 x 8 (hexadecimal): evento de advertencia de KDC registro 25 en el registro del sistema cuando pidiendo S4U2Self vale de usuario no tiene acceso suficiente a usuario de destino.
    • 16 (decimal) o 0 x 10 (hexadecimal): sucesos de registro de auditoría en el tipo de cifrado (ETYPE) y errores de opciones incorrecta.
    Este valor indica qué información va a escribir el KDC para registros de sucesos y a auditorías.
  • Entrada: KdcDebugLevel
    Tipo: REG_DWORD
    Valor predeterminado: 1 para la compilación comprobada, 0 para compilación libre

    Este valor indica si el registro de depuración es (1) o desactivado (0).

    Si el valor se establece en 0x10000000 (hexadecimal) o 268435456 (decimal), información específica de archivo o la línea se devolverá en el campo de edata de KERB_ERRORS como PKERB_EXT_ERROR errores durante un error de procesamiento de KDC.

Propiedades

Id. de artículo: 837361 - Última revisión: viernes, 11 de abril de 2008 - Versión: 5.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Palabras clave: 
kbmt kbwinservnetwork kbsecurityservices kbregistry kbinfo KB837361 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 837361

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com