Voci del Registro di sistema protocollo Kerberos e le chiavi di configurazione KDC in Windows Server 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 837361 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo contiene informazioni sulle voci del Registro di sistema relativi al protocollo Kerberos versione 5 di autenticazione in Microsoft Windows Server 2003.

INTRODUZIONE

Kerberos Ŕ un meccanismo di autenticazione utilizzato per verificare le identitÓ utente o un host. Kerberos Ŕ il metodo di autenticazione preferenziale per i servizi in Windows Server 2003.

Se si esegue Windows Server 2003, Ŕ possibile modificare i parametri Kerberos per facilitare la risoluzione dei problemi relativi all'autenticazione Kerberos problemi di autenticazione o per testare il protocollo Kerberos. Per effettuare questa operazione, aggiungere o modificare le voci del Registro di sistema elencate nelle "informazioni" sezione.

Informazioni

Importante Questa sezione, metodo o attivitÓ contiene passaggi viene illustrato come modificare il Registro di sistema. Tuttavia, pu˛ causare seri problemi se si modifica il Registro di sistema in modo non corretto. Pertanto, assicurarsi di eseguire la procedura con attenzione. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, Ŕ possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e ripristino del Registro di sistema in Windows
Nota Dopo aver completato la risoluzione dei problemi o il test di Kerberos del protocollo, rimuovere tutte le voci del Registro di sistema che si aggiungono. In caso contrario, le prestazioni del computer potrebbero essere interessata.

Voci del Registro di sistema e i valori sotto la chiave Parameters

Le voci del Registro di sistema elencate in questa sezione devono essere aggiunti alla seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nota Se la chiave Parameters non Ŕ elencata nella sezione Kerberos, Ŕ necessario creare la chiave.
  • Voce: SkewTime
    Tipo: REG_DWORD
    Valore predefinito: 5 (minuti)

    Questo valore Ŕ la differenza di tempo massimo consentito tra il computer client e il server accetta Kerberos autenticazione. In Windows 2000 controllati versione build, il valore predefinito SkewTime valore Ŕ 2 ore.

    Nota Viene utilizzata una versione di build del sistema operativo Windows in ambienti di testing e produzione. (Una build verificata Ŕ detto anche una versione di debug.) Una build verificata dispone di numerose ottimizzazioni del compilatore disattivate. Di questo tipo di generazione traccia consente la causa dei problemi nel software del sistema. Una build verificata attiva molte verifiche di debug nel codice del sistema operativo e dei driver di sistema. Questi controlli di debug utile build verificata rilevare inconsistenze interni, non appena si verificano. Una build verificata Ŕ pi¨ grande ed Ŕ pi¨ lenta di esecuzione rispetto a una versione per gli utenti finali di Windows.

    Una versione per gli utenti finali di Windows Ŕ noto anche come una versione build libero o una versione build finale. Le informazioni di debug viene rimosso in una versione build gratuita e Windows viene generata con le ottimizzazioni del compilatore completo. Una versione gratuita di generazione Ŕ pi¨ veloce e utilizza minore quantitÓ di memoria rispetto a una versione build verificata.
  • Voce: LogLevel
    Tipo: REG_DWORD
    Valore predefinito: 0

    Questo valore indica se gli eventi vengono registrati nel registro eventi di sistema. Se questo valore Ŕ impostato su qualsiasi valore diverso da zero, tutti gli eventi relativi a Kerberos sono registrati nel registro eventi di sistema.
  • Voce: MaxPacketSize
    Tipo: REG_DWORD
    Valore predefinito: 1465 (byte)

    Questo valore Ŕ il numero massimo di User Datagram Protocol (UDP) dimensioni del pacchetto. Se la dimensione del pacchetto supera questo valore, viene utilizzato TCP.
  • Voce: StartupTime
    Tipo: REG_DWORD
    Valore predefinito: 120 (secondi)

    Questo valore Ŕ il tempo di attesa per il Centro distribuzione chiave (KDC, Key Distribution Center) per avviare prima di Windows offre.
  • Voce: KdcWaitTime
    Tipo: REG_DWORD
    Valore predefinito: 10 (secondi)

    Questo valore Ŕ il tempo di attesa di una risposta da un KDC.
  • Voce: KdcBackoffTime
    Tipo: REG_DWORD
    Valore predefinito: 10 (secondi)


    Questo valore Ŕ il tempo tra le chiamate successive al KDC se la chiamata precedente non Ŕ riuscita.
  • Voce: KdcSendRetries
    Tipo: REG_DWORD
    Valore predefinito: 3

    Questo valore Ŕ il numero di volte che un client tenterÓ di contattare un KDC.
  • Voce: DefaultEncryptionType
    Tipo: REG_DWORD
    Valore predefinito: 23 (decimale) o 0 x 17 (esadecimale)

    Questo valore indica il tipo di crittografia predefinito per la preautenticazione.
  • Voce: FarKdcTimeout
    Tipo: REG_DWORD
    Valore predefinito: 10 (minuti)

    Questo Ŕ il valore di timeout utilizzato da invalidare un controller di dominio da un altro sito nella cache del controller di dominio.
  • Voce: NearKdcTimeout
    Tipo: REG_DWORD
    Valore predefinito: 30 (minuti)

    Questo Ŕ il valore di timeout utilizzato da invalidare un controller di dominio nello stesso sito nella cache del controller di dominio.
  • Voce: StronglyEncryptDatagram
    Tipo: REG_BOOL
    Valore predefinito: FALSE

    Questo valore contiene un flag che indica se utilizzare la crittografia a 128 bit per i pacchetti di datagramma.
  • Voce: MaxReferralCount
    Tipo: REG_DWORD
    Valore predefinito: 6

    Questo valore Ŕ il numero di riferimenti KDC che un client pursues prima fornisce client alto.
  • Voce: KerbDebugLevel
    Tipo: REG_DWORD
    Valore predefinito: 0xFFFFFFFF

    Questo valore Ŕ un elenco di flag che indicano il tipo e il livello di registrazione che viene richiesta. Questo tipo di registrazione pu˛ essere raccolti sul livello di componente di Kerberos tramite bit per bit o tramite uno o pi¨ delle macro descritto nella tabella riportata di seguito.
    Riduci questa tabellaEspandi questa tabella
    Nome di macroValoreNota
    DEB_ERROR0 x 00000001Questa Ŕ l'impostazione predefinita InfoLevel per versioni verificate. Tra i componenti che genera messaggi di errore.
    DEB_WARN0 x 00000002Questa macro genera messaggi di avviso tra componenti. In alcuni casi, questi messaggi possono essere ignorati.
    DEB_TRACE0 x 00000004Questa macro consente gli eventi di traccia generale.
    DEB_TRACE_API0 x 00000008Questa macro consente gli eventi di traccia API utente vengono in genere registrati in movimento e in uscita per una funzione esportata esternamente che viene implementata tramite SSPI.
    DEB_TRACE_CRED0 x 00000010Questa macro consente alle credenziali di analisi.
    DEB_TRACE_CTXT0 x 00000020Questa macro consente l'analisi di contesto.
    DEB_TRACE_LSESS0x00000040Questa macro consente l'analisi di sessione di accesso.
    DEB_TRACE_TCACHE0x00000080Non implementato
    DEB_TRACE_LOGON0 x 00000100Questa macro consente l'analisi di accesso, ad esempio in LsaApLogonUserEx2().
    DEB_TRACE_KDC00000200Questa macro consente l'analisi prima e dopo le chiamate per KerbMakeKdcCall().
    DEB_TRACE_CTXT20 x 00000400Questa macro consente l'analisi di contesto aggiuntive.
    DEB_TRACE_TIME0x00000800Questa macro consente il tempo di analisi inclinazione viene trovato in Timesync.cxx.
    DEB_TRACE_USER0 x 00001000Questa macro consente l'analisi di API utente che viene utilizzato unitamente a DEB_TRACE_API e che viene trovato prevalentemente in Userapi.cxx.
    DEB_TRACE_LEAKS0 x 00002000
    DEB_TRACE_SOCK00004000Questa macro consente gli eventi relativi a Winsock.
    DEB_TRACE_SPN_CACHE0x00008000Questa macro consente di eventi correlati a riscontri cache SPN e accessi non riusciti.
    DEB_S4U_ERROR0 x 00010000Non implementato
    DEB_TRACE_S4U0 x 00020000
    DEB_TRACE_BND_CACHE0 x 00040000
    DEB_TRACE_LOOPBACK0 x 00080000
    DEB_TRACE_TKT_RENEWAL0 x 00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS01000000
    DEB_USE_LOG_FILE02000000Non implementato
  • Voce: MaxTokenSize
    Tipo: REG_DWORD
    Valore predefinito: 12000 (decimale)

    Questo valore Ŕ il valore massimo di Kerberos il token. ╚ consigliabile impostare questo valore inferiore a 65535.
  • Voce: SpnCacheTimeout
    Tipo: REG_DWORD
    Valore predefinito: 15 minuti

    Questo valore Ŕ la durata delle voci della cache dei nomi principali di servizio (SPN). Nei controller di dominio, la cache SPN Ŕ disattivata.
  • Voce: S4UCacheTimeout
    Tipo: REG_DWORD
    Valore predefinito: 15 minuti

    Questo valore Ŕ la durata delle voci della cache negativa S4U che vengono utilizzati per limitare il numero di richieste proxy S4U da un computer specifico.
  • Voce: S4UTicketLifetime
    Tipo: REG_DWORD
    Valore predefinito: 15 minuti

    Questo valore Ŕ la durata dei ticket vengono ottenuti dalle richieste proxy S4U.
  • Voce: RetryPdc
    Tipo: REG_DWORD
    Valore predefinito: 0 (false)
    I possibili valori: 0 (false) o qualsiasi valore diverso da zero (VERO)

    Questo valore indica se il client contatterÓ il controller di dominio primario per richieste di servizio di autenticazione (AS_REQ) se il client riceve un errore di scadenza password.
  • Voce: RequestOptions
    Tipo: REG_DWORD
    Valore predefinito: Valore di qualsiasi RFC 1510

    Questo valore indica che se sono disponibili opzioni aggiuntive che devono essere inviate come opzioni KDC nel servizio di concessione ticket richieste (TGS_REQ).
  • Voce: ClientIpAddress
    Tipo: REG_DWORD
    Per impostazione predefinita valore: 0 (0 questa impostazione Ŕ causa di problemi di conversione di indirizzo di rete e Dynamic Host Configuration Protocol).
    I possibili valori: 0 (false) o qualsiasi valore diverso da zero (VERO)

    Questo valore indica se un indirizzo IP del client verrÓ aggiunto in AS_REQ per forzare il campo Caddr per contenere tutti i ticket di indirizzi IP.
  • Voce: TgtRenewalTime
    Tipo: REG_DWORD
    Valore predefinito: 600 secondi

    Questo valore Ŕ il tempo Kerberos attende prima di essere il tentativo di rinnovare un ticket di concessione ticket (TGT) prima che il ticket scade.
  • Voce: AllowTgtSessionKey
    Tipo: REG_DWORD
    Valore predefinito: 0
    I possibili valori: 0 (false) o qualsiasi valore diverso da zero (VERO)

    Questo valore indica se le chiavi di sessione vengono esportate con iniziale o con cross autenticazione TGT dell'area di autenticazione. Il valore predefinito Ŕ false per motivi di protezione.

Voci del Registro di sistema e i valori della chiave KDC

Le voci del Registro di sistema elencate in questa sezione devono essere aggiunti alla seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Nota Se la chiave KDC non Ŕ elencata nella sezione servizi, Ŕ necessario creare la chiave.
  • Voce: KdcUseClientAddresses
    Tipo: REG_DWORD
    Valore predefinito: 0
    I possibili valori: 0 (false) o qualsiasi valore diverso da zero (true)

    Questo valore indica se gli indirizzi IP verranno aggiunti in Service Rispondi concessione ticket (TGS_REP).
  • Voce: KdcDontCheckAddresses
    Tipo: REG_DWORD
    Valore predefinito: 1
    I possibili valori: 0 (false) o qualsiasi valore diverso da zero (true)

    Questo valore indica se gli indirizzi IP per il TGS_REQ e il campo Caddr TGT verranno controllati.
  • Voce: NewConnectionTimeout
    Tipo: REG_DWORD
    Valore predefinito: 10 (secondi)

    Questo valore Ŕ l'ora verrÓ conservata aperta per la ricezione dei dati prima che esso si disconnette una connessione di endpoint TCP iniziale.
  • Voce: MaxDatagramReplySize
    Tipo: REG_DWORD
    Valore predefinito: 1465 (decimale, byte)

    Questo valore Ŕ di dimensioni massime del pacchetto UDP nei messaggi di TGS_REP e risposte servizio di autenticazione (AS_REP). Se la dimensione del pacchetto supera questo valore, il KDC restituisce un messaggio KRB_ERR_RESPONSE_TOO_BIG richiede che il client di passare a TCP.

    Nota L'aumento MaxDatagramReplySize pu˛ aumentare la probabilitÓ che i pacchetti Kerberos UDP frammentazione.

    Per ulteriori informazioni su questo problema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    244474Come forzare Kerberos a utilizzare TCP anzichÚ UDP in Windows
  • Voce: KdcExtraLogLevel
    Tipo: REG_DWORD
    Valore predefinito: 2
    Valori possibili:
    • 1 (decimale) o 0 x 1 (esadecimale): SPN controlla gli errori sconosciuti.
    • 2 (decimale) o 0 x 2 (esadecimale): PKINIT registro errori. (PKINIT Ŕ una bozza Internet IETF (Internet Engineering Task Force) per "Public Key Cryptography for Initial Authentication in Kerberos".)
    • 4 (decimale) o 0 x 4 (esadecimale): accesso KDC tutti gli errori.
    • 8 (decimale) o 0 x 8 (esadecimale): evento di avviso registro KDC 25 nel Registro di sistema quando viene chiesto di S4U2Self ticket utente non dispone di diritti di accesso sufficienti per l'utente di destinazione.
    • 16 (decimale) o 0 x 10 (esadecimale): registro eventi di controllo sul tipo di crittografia (ETYPE) e gli errori di opzioni non valida.
    Questo valore indica quali informazioni verrÓ scritto il KDC di registri eventi e i controlli.
  • Voce: KdcDebugLevel
    Tipo: REG_DWORD
    Valore predefinito: 1 per build verificata, 0 per build gratuita

    Questo valore indica se la registrazione di debug Ŕ attivato (1) o disattivare (0).

    Se il valore Ŕ impostato su 0 x 10000000 (esadecimale) o 268435456 (decimale), informazioni specifiche di file o la riga vengono restituite nel campo edata di KERB_ERRORS come errori PKERB_EXT_ERROR durante un errore durante l'elaborazione di KDC.

ProprietÓ

Identificativo articolo: 837361 - Ultima modifica: venerdý 11 aprile 2008 - Revisione: 5.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Chiavi:á
kbmt kbwinservnetwork kbsecurityservices kbregistry kbinfo KB837361 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 837361
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com