Entrées de Registre de protocole Kerberos et clés de configuration KDC dans Windows

Cet article décrit les entrées de Registre relatives au protocole d’authentification Kerberos version 5 et à la configuration du centre de distribution de clés (KDC).

S’applique à : Windows 11, Windows 10, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Numéro de la base de connaissances d’origine : 837361

Résumé

Kerberos est un mécanisme d’authentification utilisé pour vérifier l’identité de l’utilisateur ou de l’hôte. Kerberos est la méthode d’authentification préférée pour les services dans Windows.

Si vous exécutez Windows, vous pouvez modifier les paramètres Kerberos pour résoudre les problèmes d’authentification Kerberos ou pour tester le protocole Kerberos. Pour ce faire, ajoutez ou modifiez les entrées de Registre répertoriées dans les sections suivantes.

Entrées et valeurs de Registre sous la clé Paramètres

Les entrées de Registre répertoriées dans cette section doivent être ajoutées à la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

• Entrée : SkewTime

  • Type : REG_DWORD

  • Valeur par défaut : 5 (minutes)

    Cette valeur est la différence de temps maximale autorisée entre l’ordinateur client et le serveur qui accepte l’authentification Kerberos ou le KDC.

    Remarque

    La valeur SkewTime est prise en compte dans la détermination de la validité du ticket Kerberos à réutiliser. Un ticket est considéré comme expiré si l’heure d’expiration est inférieure à l’heure actuelle + la valeur SkewTime. Par exemple, si la valeur SkewTime est définie sur 20 minutes et que l’heure actuelle est 08 :00, tout ticket dont l’heure d’expiration est antérieure à 08 :20 est considéré comme expiré.

• Entrée : LogLevel

  • Type : REG_DWORD

  • Valeur par défaut : 0

    Cette valeur indique si les événements sont enregistrés dans le journal des événements système. Si cette valeur est définie sur une valeur différente de zéro, tous les événements liés à Kerberos sont enregistrés dans le journal des événements système.

    Remarque

    Les événements enregistrés peuvent inclure des faux positifs où le client Kerberos effectue de nouvelles tentatives avec différents indicateurs de requête qui réussissent ensuite. Par conséquent, ne supposez pas que vous rencontrez un problème Kerberos quand vous voyez un événement journalisé en fonction de ce paramètre. Pour plus d’informations, consultez Guide pratique pour activer la journalisation des événements Kerberos .

• Entrée : MaxPacketSize

  • Type : REG_DWORD

  • Valeur par défaut : 1465 (octets)

    Cette valeur correspond à la taille maximale des paquets UDP (User Datagram Protocol). Si la taille du paquet dépasse cette valeur, TCP est utilisé.

    La valeur par défaut de cette valeur dans Windows Vista et les versions ultérieures de Windows est 0. Par conséquent, UDP n’est jamais utilisé par le client Kerberos Windows.

• Entrée : StartupTime

  • Type : REG_DWORD

  • Valeur par défaut : 120 (secondes)

    Cette valeur est le temps pendant lequel Windows attend que le KDC démarre avant que Windows abandonne.

• Entrée : KdcWaitTime

  • Type : REG_DWORD

  • Valeur par défaut : 10 (secondes)

    Cette valeur correspond à l’heure à laquelle Windows attend une réponse d’un KDC.

• Entrée : KdcBackoffTime

  • Type : REG_DWORD

  • Valeur par défaut : 10 (secondes)

    Cette valeur correspond à la durée entre les appels successifs au KDC si l’appel précédent a échoué.

• Entrée : KdcSendRetries

  • Type : REG_DWORD

  • Valeur par défaut : 3

    Cette valeur correspond au nombre de fois où un client tente de contacter un KDC.

• Entrée : DefaultEncryptionType

  • Type : REG_DWORD

    Cette valeur indique le type de chiffrement par défaut pour la pré-authentification. La valeur par défaut pour RC4 est 23 (décimal) ou 0x17 (hexadécimal)

    Lorsque vous souhaitez utiliser AES, définissez la valeur sur l’une des valeurs suivantes :

    • aes256-cts-hmac-sha1-96 : 18 ou 0x12
    • aes128-cts-hmac-sha1-96 : 17 ou 0x11

    Cette valeur indique le type de chiffrement par défaut pour la pré-authentification.

• Entrée : FarKdcTimeout

  • Type : REG_DWORD

  • Valeur par défaut : 10 (minutes)

    Il s’agit de la valeur de délai d’attente utilisée pour invalider un contrôleur de domaine à partir d’un autre site dans le cache du contrôleur de domaine.

• Entrée : NearKdcTimeout

  • Type : REG_DWORD

  • Valeur par défaut : 30 (minutes)

    Il s’agit de la valeur de délai d’attente utilisée pour invalider un contrôleur de domaine dans le même site dans le cache du contrôleur de domaine.

• Entrée : StronglyEncryptDatagram

  • Type : REG_BOOL

  • Valeur par défaut : FALSE

    Cette valeur contient un indicateur qui indique s’il faut utiliser le chiffrement 128 bits pour les paquets de datagramme.

• Entrée : MaxReferralCount

  • Type : REG_DWORD

  • Valeur par défaut : 6

    Cette valeur correspond au nombre de références KDC qu’un client poursuit avant l’abandonner.

• Entrée : MaxTokenSize

  • Type : REG_DWORD

  • Valeur par défaut : 12000 (décimal). À partir Windows Server 2012 et Windows 8, la valeur par défaut est 48 000.

    Cette valeur est la valeur maximale du jeton Kerberos. Microsoft vous recommande de définir cette valeur sur une valeur inférieure à 65535. Pour plus d’informations, consultez Problèmes liés à l’authentification Kerberos lorsqu’un utilisateur appartient à de nombreux groupes.

• Entrée : SpnCacheTimeout

  • Type : REG_DWORD

  • Valeur par défaut : 15 minutes

    Cette valeur est utilisée par le système lors de la purge des entrées de cache spN (Service Principal Names). Sur les contrôleurs de domaine, le cache SPN est désactivé. Les clients et les serveurs membres utilisent cette valeur pour faire vieillir et vider les entrées de cache négatives (SPN introuvable). Les entrées de cache SPN valides (par exemple, le cache non négatif) ne sont pas supprimées après 15 minutes de création. Toutefois, la valeur SPNCacheTimeout est également utilisée pour réduire le cache SPN à une taille gérable : lorsque le cache spN atteint 350 entrées, le système utilise cette valeur pour scavenge / cleanup les entrées anciennes et inutilisées.

• Entrée : S4UCacheTimeout

  • Type : REG_DWORD

  • Valeur par défaut : 15 minutes

    Cette valeur correspond à la durée de vie des entrées de cache négatives S4U utilisées pour limiter le nombre de demandes de proxy S4U à partir d’un ordinateur particulier.

• Entrée : S4UTicketLifetime

  • Type : REG_DWORD

  • Valeur par défaut : 15 minutes

    Cette valeur correspond à la durée de vie des tickets obtenus par les demandes de proxy S4U.

• Entrée : RetryPdc

  • Type : REG_DWORD

  • Valeur par défaut : 0 (false)

  • Valeurs possibles : 0 (false) ou toute valeur différente de zéro (true)

    Cette valeur indique si le client contactera le contrôleur de domaine principal pour les demandes de service d’authentification (AS_REQ) si le client reçoit une erreur d’expiration de mot de passe.

• Entrée : RequestOptions

  • Type : REG_DWORD

  • Valeur par défaut : toute valeur RFC 1510

    Cette valeur indique s’il existe d’autres options qui doivent être envoyées en tant qu’options KDC dans les demandes du service d’octroi de ticket (TGS_REQ).

• Entrée : ClientIpAddresses

  • Type : REG_DWORD

  • Valeur par défaut : 0 (Ce paramètre est 0 en raison de problèmes de traduction de protocole de configuration d’hôte dynamique et d’adresse réseau.)

  • Valeurs possibles : 0 (false) ou toute valeur différente de zéro (true)

    Cette valeur indique si une adresse IP cliente sera ajoutée dans AS_REQ pour forcer le Caddr champ à contenir des adresses IP dans tous les tickets.

• Entrée : TgtRenewalTime

  • Type : REG_DWORD

  • Valeur par défaut : 600 secondes

    Cette valeur correspond à la durée pendant laquelle Kerberos attend avant de tenter de renouveler un ticket TGT (Ticket Granting Ticket) avant l’expiration du ticket.

• Entrée : AllowTgtSessionKey

  • Type : REG_DWORD

  • Valeur par défaut : 0

  • Valeurs possibles : 0 (false) ou toute valeur différente de zéro (true)

    Cette valeur indique si les clés de session sont exportées avec l’authentification TGT initiale ou inter-domaines. La valeur par défaut est false pour des raisons de sécurité.

    Remarque

    Avec Credential Guard actif dans Windows 10 et versions ultérieures de Windows, vous ne pouvez plus activer le partage des clés de session TGT avec les applications.

Entrées et valeurs de Registre sous la clé Kdc

Les entrées de Registre répertoriées dans cette section doivent être ajoutées à la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

• Entrée : KdcUseClientAddresses

  • Type : REG_DWORD

  • Valeur par défaut : 0

  • Valeurs possibles : 0 (false) ou toute valeur différente de zéro (true)

    Cette valeur indique si les adresses IP seront ajoutées dans la réponse du service Ticket-Granting (TGS_REP).

• Entrée : KdcDontCheckAddresses

  • Type : REG_DWORD

  • Valeur par défaut : 1

  • Valeurs possibles : 0 (false) ou toute valeur différente de zéro (true)

    Cette valeur indique si les adresses IP du TGS_REQ et le champ TGT Caddr seront vérifiés.

• Entrée : NewConnectionTimeout

  • Type : REG_DWORD

  • Valeur par défaut : 10 (secondes)

    Cette valeur correspond à la durée pendant laquelle une connexion de point de terminaison TCP initiale est maintenue ouverte pour recevoir des données avant qu’elle ne se déconnecte.

• Entrée : MaxDatagramReplySize

  • Type : REG_DWORD

  • Valeur par défaut : 1465 (décimal, octets)

    Cette valeur correspond à la taille maximale des paquets UDP dans les messages TGS_REP et réponses du service d’authentification (AS_REP). Si la taille du paquet dépasse cette valeur, le KDC retourne un message « KRB_ERR_RESPONSE_TOO_BIG » qui demande que le client bascule vers TCP.

    Remarque

    L’augmentation de MaxDatagramReplySize peut augmenter la probabilité que les paquets UDP Kerberos soient fragmentés.

    Pour plus d’informations sur ce problème, consultez Guide pratique pour forcer Kerberos à utiliser TCP au lieu d’UDP dans Windows.

• Entrée : KdcExtraLogLevel

  • Type : REG_DWORD

  • Valeur par défaut : 2

  • Valeurs possibles :

    • 1 (décimal) ou 0x1 (hexadécimal) : Auditer les erreurs SPN inconnues dans le journal des événements de sécurité. L’ID d’événement 4769 est journalisé avec un audit ayant échoué.
    • 2 (décimal) ou 0x2 (hexadécimal) : erreurs PKINIT de journal. Cela enregistre un ID d’événement d’avertissement KDC 21 (activé par défaut) dans le journal des événements système. PKINIT est un brouillon Internet IETF (Internet Engineering Task Force) pour le chiffrement à clé publique pour l’authentification initiale dans Kerberos.
    • 4 (décimal) ou 0x4 (hexadécimal) : journaliser toutes les erreurs KDC. Cela enregistre un ID d’événement KDC 24 (exemple de problèmes U2U requis) dans le journal des événements système.
    • 8 (décimal) ou 0x8 (hexadécimal) : journaliser un ID d’événement d’avertissement KDC 25 dans le journal système lorsque l’utilisateur qui demande le ticket S4U2Self n’a pas un accès suffisant à l’utilisateur cible.
    • 16 (décimal) ou 0x10 (hexadécimal) : journaliser les événements d’audit sur le type de chiffrement (ETYPE) et les erreurs d’options incorrectes. Cette valeur indique les informations que le KDC doit écrire dans les journaux des événements et dans les audits dans le journal des événements de sécurité. L’ID d’événement 4769 est journalisé avec un audit ayant échoué.