Voci del Registro di sistema del protocollo Kerberos e chiavi di configurazione KDC in Windows
Questo articolo descrive le voci del Registro di sistema relative al protocollo di autenticazione Kerberos versione 5 e alla configurazione del Centro distribuzione chiavi (KDC).
Si applica a: Windows 11, Windows 10, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Numero KB originale: 837361
Riepilogo
Kerberos è un meccanismo di autenticazione usato per verificare l'identità dell'utente o dell'host. Kerberos è il metodo di autenticazione preferito per i servizi in Windows.
Se si esegue Windows, è possibile modificare i parametri Kerberos per risolvere i problemi di autenticazione Kerberos o per testare il protocollo Kerberos. A tale scopo, aggiungere o modificare le voci del Registro di sistema elencate nelle sezioni seguenti.
Importante
In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire backup e ripristino del Registro di sistema, vedere Backup e ripristino del Registro di sistema in Windows.
Nota
Dopo aver completato la risoluzione dei problemi o il test del protocollo Kerberos, rimuovere tutte le voci del Registro di sistema aggiunte. In caso contrario, le prestazioni del computer potrebbero essere influenzate.
Voci e valori del Registro di sistema nella chiave Parameters
Le voci del Registro di sistema elencate in questa sezione devono essere aggiunte alla sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nota
Se la chiave Parameters non è elencata in Kerberos, è necessario creare la chiave.
Voce: SkewTime
Digitare: REG_DWORD
Valore predefinito: 5 (minuti)
Questo valore è la differenza di tempo massima consentita tra il computer client e il server che accetta l'autenticazione Kerberos o il KDC.
Nota
SkewTime viene considerato nella determinazione della validità del ticket Kerberos per il riutilizzo. Un ticket viene considerato scaduto se l'ora di scadenza è minore dell'ora corrente + SkewTime. Ad esempio, se SkewTime è impostato su 20 minuti e l'ora corrente è 08:00, qualsiasi ticket con un'ora di scadenza precedente alle 08:20 verrà considerato scaduto.
Voce: LogLevel
Digitare: REG_DWORD
Valore predefinito: 0
Questo valore indica se gli eventi vengono registrati nel registro eventi di sistema. Se questo valore è impostato su qualsiasi valore diverso da zero, tutti gli eventi correlati a Kerberos vengono registrati nel registro eventi di sistema.
Nota
Gli eventi registrati possono includere falsi positivi in cui il client Kerberos ritenta con flag di richiesta diversi che hanno esito positivo. Pertanto, non presupporre che si sia verificato un problema Kerberos quando viene visualizzato un evento registrato in base a questa impostazione. Per altre informazioni, vedere Come abilitare la registrazione eventi Kerberos .
Voce: MaxPacketSize
Digitare: REG_DWORD
Valore predefinito: 1465 (byte)
Questo valore è la dimensione massima del pacchetto UDP (User Datagram Protocol). Se le dimensioni del pacchetto superano questo valore, viene usato TCP.
L'impostazione predefinita per questo valore in Windows Vista e nella versione successiva di Windows è 0, quindi UDP non viene mai usato dal client Kerberos di Windows.
Voce: StartupTime
Digitare: REG_DWORD
Valore predefinito: 120 (secondi)
Questo valore è l'ora in cui Windows attende l'avvio del KDC prima che Windows si disaspetti.
Voce: KdcWaitTime
Digitare: REG_DWORD
Valore predefinito: 10 (secondi)
Questo valore è il tempo in cui Windows attende una risposta da un KDC.
Voce: KdcBackoffTime
Digitare: REG_DWORD
Valore predefinito: 10 (secondi)
Questo valore è il tempo tra le chiamate successive al KDC se la chiamata precedente non è riuscita.
Voce: KdcSendRetries
Digitare: REG_DWORD
Valore predefinito: 3
Questo valore corrisponde al numero di volte in cui un client tenterà di contattare un KDC.
Voce: DefaultEncryptionType
Digitare: REG_DWORD
Questo valore indica il tipo di crittografia predefinito per la pre-autenticazione. Il valore predefinito per RC4 è 23 (decimale) o 0x17 (esadecimale)
Quando si vuole usare AES, impostare il valore su uno dei valori seguenti:
- aes256-cts-hmac-sha1-96: 18 o 0x12
- aes128-cts-hmac-sha1-96: 17 o 0x11
Questo valore indica il tipo di crittografia predefinito per la pre-autenticazione.
Voce: FarKdcTimeout
Digitare: REG_DWORD
Valore predefinito: 10 (minuti)
È il valore di timeout usato per invalidare un controller di dominio da un sito diverso nella cache del controller di dominio.
Voce: NearKdcTimeout
Digitare: REG_DWORD
Valore predefinito: 30 (minuti)
È il valore di timeout usato per invalidare un controller di dominio nello stesso sito nella cache del controller di dominio.
Voce: StronglyEncryptDatagram
Tipo: REG_BOOL
Valore predefinito: FALSE
Questo valore contiene un flag che indica se utilizzare la crittografia a 128 bit per i pacchetti di datagramma.
Voce: MaxReferralCount
Digitare: REG_DWORD
Valore predefinito: 6
Questo valore è il numero di riferimenti KDC che un client segue prima che il client si dia da fare.
Voce: MaxTokenSize
Digitare: REG_DWORD
Valore predefinito: 12000 (Decimal). A partire da Windows Server 2012 e Windows 8, il valore predefinito è 48000.
Questo valore è il valore massimo del token Kerberos. Microsoft consiglia di impostare questo valore su meno di 65535. Per altre informazioni, vedere Problemi con l'autenticazione Kerberos quando un utente appartiene a molti gruppi.
Voce: SpnCacheTimeout
Digitare: REG_DWORD
Valore predefinito: 15 minuti
Questo valore viene usato dal sistema durante l'eliminazione delle voci della cache dei nomi dell'entità servizio (SPN). Nei controller di dominio, la cache SPN è disabilitata. I client e i server membri usano questo valore per eliminare le voci negative della cache (SPN non trovato). Le voci valide della cache SPN (ad esempio, non la cache negativa) non vengono eliminate dopo 15 minuti dalla creazione. Tuttavia, il valore SPNCacheTimeout viene usato anche per ridurre la cache SPN a una dimensione gestibile. Quando la cache SPN raggiunge 350 voci, il sistema userà questo valore per
scavenge / cleanuple voci precedenti e non usate.
Voce: S4UCacheTimeout
Digitare: REG_DWORD
Valore predefinito: 15 minuti
Questo valore corrisponde alla durata delle voci negative della cache S4U usate per limitare il numero di richieste proxy S4U da un determinato computer.
Voce: S4UTicketLifetime
Digitare: REG_DWORD
Valore predefinito: 15 minuti
Questo valore è la durata dei ticket ottenuti dalle richieste proxy S4U.
Voce: RiprovaPdc
Digitare: REG_DWORD
Valore predefinito: 0 (false)
Valori possibili: 0 (false) o qualsiasi valore diverso da zero (true)
Questo valore indica se il client contatterà il controller di dominio primario per le richieste del servizio di autenticazione (AS_REQ) se il client riceve un errore di scadenza della password.
Voce: RequestOptions
Digitare: REG_DWORD
Valore predefinito: qualsiasi valore RFC 1510
Questo valore indica se sono disponibili altre opzioni che devono essere inviate come opzioni KDC nelle richieste del servizio di concessione ticket (TGS_REQ).
Voce: ClientIpAddresses
Digitare: REG_DWORD
Valore predefinito: 0 (questa impostazione è 0 a causa dei problemi di conversione del protocollo di configurazione dell'host dinamico e degli indirizzi di rete).
Valori possibili: 0 (false) o qualsiasi valore diverso da zero (true)
Questo valore indica se un indirizzo IP client verrà aggiunto in AS_REQ per forzare il
Caddrcampo a contenere indirizzi IP in tutti i ticket.
Voce: TgtRenewalTime
Digitare: REG_DWORD
Valore predefinito: 600 secondi
Questo valore è il tempo di attesa di Kerberos prima che tenti di rinnovare un ticket di concessione ticket (TGT) prima della scadenza del ticket.
Voce: AllowTgtSessionKey
Digitare: REG_DWORD
Valore predefinito: 0
Valori possibili: 0 (false) o qualsiasi valore diverso da zero (true)
Questo valore indica se le chiavi di sessione vengono esportate con l'autenticazione TGT iniziale o tra aree di autenticazione. Il valore predefinito è false per motivi di sicurezza.
Nota
Con Credential Guard attivo in Windows 10 e versioni successive di Windows, non è più possibile abilitare la condivisione delle chiavi di sessione TGT con le applicazioni.
Voci e valori del Registro di sistema nella chiave Kdc
Le voci del Registro di sistema elencate in questa sezione devono essere aggiunte alla sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Nota
Se la chiave Kdc non è elencata in Servizi, è necessario creare la chiave.
Voce: KdcUseClientAddresses
Digitare: REG_DWORD
Valore predefinito: 0
Valori possibili: 0 (false) o qualsiasi valore diverso da zero (true)
Questo valore indica se gli indirizzi IP verranno aggiunti nella TGS_REP Ticket-Granting Service Reply (risposta al servizio).
Voce: KdcDontCheckAddresses
Digitare: REG_DWORD
Valore predefinito: 1
Valori possibili: 0 (false) o qualsiasi valore diverso da zero (true)
Questo valore indica se verranno controllati gli indirizzi IP per il TGS_REQ e il campo TGT
Caddr.
Voce: NewConnectionTimeout
Digitare: REG_DWORD
Valore predefinito: 10 (secondi)
Questo valore è il momento in cui una connessione endpoint TCP iniziale verrà mantenuta aperta per ricevere i dati prima della disconnessione.
Voce: MaxDatagramReplySize
Digitare: REG_DWORD
Valore predefinito: 1465 (decimale, byte)
Questo valore è la dimensione massima del pacchetto UDP nei messaggi TGS_REP e Risposte al servizio di autenticazione (AS_REP). Se le dimensioni del pacchetto superano questo valore, il KDC restituisce un messaggio "KRB_ERR_RESPONSE_TOO_BIG" che richiede che il client passi a TCP.
Nota
L'aumento di MaxDatagramReplySize può aumentare la probabilità che i pacchetti UDP Kerberos vengano frammentati.
Per altre informazioni su questo problema, vedere Come forzare Kerberos a usare TCP anziché UDP in Windows.
Voce: KdcExtraLogLevel
Digitare: REG_DWORD
Valore predefinito: 2
Valori possibili:
- 1 (decimale) o 0x1 (esadecimale): controllare gli errori SPN sconosciuti nel registro eventi di sicurezza. L'ID evento 4769 viene registrato con un controllo non riuscito.
- 2 (decimale) o 0x2 (esadecimale): errori PKINIT di log. Viene registrato un ID evento di avviso KDC 21 (abilitato per impostazione predefinita) nel registro eventi di sistema. PKINIT è una bozza Internet IETF (Internet Engineering Task Force) per la crittografia a chiave pubblica per l'autenticazione iniziale in Kerberos.
- 4 (decimale) o 0x4 (esadecimale): registra tutti gli errori KDC. In questo modo viene registrato un ID evento KDC 24 (esempio di problemi richiesti dall'U2U) nel registro eventi di sistema.
- 8 (decimale) o 0x8 (esadecimale): registrare un ID evento di avviso KDC 25 nel registro di sistema quando l'utente che richiede il ticket S4U2Self non ha accesso sufficiente all'utente di destinazione.
- 16 (decimale) o 0x10 (esadecimale): log audit events on encryption type (ETYPE) and bad options errors. Questo valore indica le informazioni che il KDC scriverà nei log eventi e nei controlli nel registro eventi di sicurezza. L'ID evento 4769 viene registrato con un controllo non riuscito.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per