Kerberos プロトコルのレジストリ エントリおよび KDC では、Windows Server 2003 のコンフィギュレーション キー

文書翻訳 文書翻訳
文書番号: 837361
すべて展開する | すべて折りたたむ

目次

概要

Kerberos バージョン 5 認証プロトコルでは、Microsoft Windows Server 2003 に関連するレジストリ エントリについての情報を掲載しています。

はじめに

Kerberos をするために使用される認証機構がユーザーまたはホスト id を確認してください。Kerberos は、推奨される認証方法です。Windows Server 2003 のサービスをします。

Windows Server を実行している場合2003 年、Kerberos のトラブルシューティングを行うには、Kerberos パラメーターを変更できます。認証の問題、または Kerberos プロトコルをテストするのには。これを行うには、追加または「詳細に記載されているレジストリ エントリをを変更します。セクションです。

詳細

重要です このセクション、メソッド、またはタスクには方法を示す手順が含まれていますレジストリを変更します。変更する場合は、ただし、深刻な問題が発生可能性があります、レジストリが正しくします。そのため、この手順を実行することを確認します。慎重にします。これを変更する前に追加された保護のため、レジストリのバックアップを作成します。その後、問題が発生した場合、レジストリを復元できます。詳細についてはバックアップ、レジストリを復元する、次の資料をクリックする方法について数を Knowledge Base の資料を参照するのには:
322756 Windows でレジストリを復元する方法
メモ トラブルシューティングまたは Kerberos のテストが完了したらプロトコルは、追加したレジストリ エントリを削除します。それ以外の場合、パフォーマンスコンピューターの影響を受ける可能性があります。

レジストリ エントリおよびパラメーター キーの下の値

このセクションに記載されているレジストリ エントリを追加する必要があります。次のレジストリ サブキーには。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
メモ [Kerberos] パラメーターのキーが表示されていない場合は、行う必要があります。キーを作成します。
  • エントリ: SkewTime
    種類: REG_DWORD
    既定値: 5(分)

    この値は許可されている最大時間差です。クライアント コンピューターとサーバー間で Kerberos を受け入れる認証します。Windows 2000 のバージョンとビルド番号は、デフォルトの SkewTime をチェック値は 2 時間です。

    メモ Windows オペレーティング システムのチェック ビルド バージョンを使用します。本番環境とテスト環境では。(チェック ビルドとも呼ばれますには、デバッグ バージョンです。)チェック ビルド多くコンパイラの最適化がオフになっています。これの構築によりトレース システム ソフトウェアの問題の原因。Aビルドになります多くのデバッグ チェックでは、オペレーティング システムのコードをチェックし、システム ドライバーにします。これらのデバッグ チェック、チェック ビルドを特定を支援します。内部の不整合が発生するとします。チェック ビルドも大きいし、よりエンドユーザーのバージョンの Windows を実行する速度が遅くなります。

    エンドユーザーWindows のバージョンは、フリー ビルド バージョンまたはリテール ビルドとも呼ばれますバージョンです。フリー ビルド バージョンでは、デバッグ情報が削除される、Windows完全なコンパイラの最適化が組み込まれています。フリー ビルド バージョンは高速ですし、チェック ビルド バージョンより少ないメモリを使用します。
  • エントリ: LogLevel
    種類: REG_DWORD
    デフォルト値: 0

    この値をシステム イベントにイベントが記録されるかどうかを示しますログです。この値はすべて 0 以外の値に設定されている場合 Kerberos 関連のすべてのイベントシステム イベント ログに記録されます。
  • エントリ: MaxPacketSize
    種類: REG_DWORD
    既定値値: 1465 (バイト)

    この値は、最大ユーザー データグラム プロトコルです。(UDP) パケットのサイズです。この値は、パケット サイズを超えた場合は、TCP が使用されます。
  • エントリ: StartupTime
    種類: REG_DWORD
    既定値:120 (秒)

    この値は Windows のキーを待機する時間です。前に Windows を起動する配布センター (KDC) をことができます。
  • エントリ: KdcWaitTime
    種類: REG_DWORD
    既定値:10 (秒)

    この値は Windows からの応答を待機する時間です。KDC。
  • エントリ: KdcBackoffTime
    種類: REG_DWORD
    既定値値: 10 (秒)


    この値は連続しての間の時間です。前回の呼び出しが失敗した場合、KDC への呼び出し。
  • エントリ: KdcSendRetries
    種類: REG_DWORD
    既定値値: 3

    この値は、クライアントがしようとする回数です。KDC に連絡してください。
  • エントリ: DefaultEncryptionType
    種類: REG_DWORD
    既定値: 23 (10 進) または 0x17 (16 進)

    この値事前認証の既定の暗号化の種類を示します。
  • エントリ: FarKdcTimeout
    種類: REG_DWORD
    既定値値: 10 (分)

    これはするために使用するタイムアウト値です。ドメイン コント ローラーから別のサイトにドメイン コント ローラーを無効にします。キャッシュします。
  • エントリ: NearKdcTimeout
    種類: REG_DWORD
    既定値値: 30 (分)

    これはするために使用するタイムアウト値です。同じサイト内のドメイン コント ローラーのドメイン コント ローラーを無効にします。キャッシュします。
  • エントリ: StronglyEncryptDatagram
    種類: REG_BOOL
    既定値: FALSE

    この値には示すフラグが含まれています。データグラム パケットの 128 ビット暗号化を使用するかどうか。
  • エントリ: MaxReferralCount
    種類: REG_DWORD
    既定値値: 6

    この値は KDC の参照数ですが、クライアントクライアントを提供前に狙います。
  • エントリ: KerbDebugLevel
    種類: REG_DWORD
    既定値値: 0 xffffffff

    この値は、リストの種類を示すフラグですし、ログのレベルを要求します。このようなログの Kerberos のコンポーネント レベルでビットごとまたは 1 つ以上の次の表に記載されているマクロに収集できます。いくつかの注意してください、次の出力に kerberos.dll (たとえば DEB_TRACE_SPN_CACHE) のチェック済みバージョンが必要です。このレベルのトラブルシューティングが必要な場合マイクロソフト サポートに連絡してください。
    元に戻す全体を表示する
    マクロ名メモ
    DEB_ERROR0x00000001これがデフォルトです。InfoLevel のチェック ビルドをします。コンポーネントでのエラー メッセージが生成されます。
    DEB_WARN0x00000002このマクロを生成します。コンポーネント間での警告メッセージ。場合によっては、これらのメッセージを指定できます。無視されます。
    DEB_TRACE0x00000004このマクロを有効に一般的なトレース イベントです。
    DEB_TRACE_API0x00000008このマクロエントリと終了時に、通常、ログオンしているユーザー API トレース イベントを有効にSSPI を通じて実装されている、外部からエクスポートされた関数です。
    DEB_TRACE_CRED0x00000010このマクロ資格情報のトレースを有効にします。
    DEB_TRACE_CTXT0x00000020このマクロコンテキストのトレースを有効にします。
    DEB_TRACE_LSESS0x00000040このマクロログオン セッションのトレースを有効にします。
    DEB_TRACE_TCACHE0x00000080いない実装
    DEB_TRACE_LOGON0x00000100このマクロなどのトレースのログオンを有効に LsaApLogonUserEx2().
    DEB_TRACE_KDC0x00000200このマクロ有効にする前に、と後の呼び出しをトレースします。 KerbMakeKdcCall().
    DEB_TRACE_CTXT2数 0 x 00000400このマクロ追加のコンテキストのトレースを有効にします。
    DEB_TRACE_TIME0x00000800このマクロ傾斜のトレースで Timesync.cxx が見つかる時間を有効にします。
    DEB_TRACE_USER0x00001000このマクロDEB_TRACE_API と共に使用されているしのユーザー API トレースを有効にUserapi.cxx のほとんどが見つかりました。
    DEB_TRACE_LEAKS0x00002000
    DEB_TRACE_SOCK0x00004000このマクロWinsock の関連のイベントを有効にします。
    DEB_TRACE_SPN_CACHE0x00008000このマクロSPN キャッシュ ヒットの数に関連するイベントを利用してミスします。
    DEB_S4U_ERROR0x00010000いない実装
    DEB_TRACE_S4U0x00020000
    DEB_TRACE_BND_CACHE0x00040000
    DEB_TRACE_LOOPBACK0x00080000
    DEB_TRACE_TKT_RENEWAL0x00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000いない実装
  • エントリ: MaxTokenSize
    種類: REG_DWORD
    既定値:12000 (10 進)

    この値は、Kerberos の最大値です。トークンです。マイクロソフトは、65535 より小さい値を設定することをお勧めします。
  • エントリ: SpnCacheTimeout
    種類: REG_DWORD
    既定値値: 15 分

    この値は、システムによってサービス プリンシパル名 (SPN) キャッシュ エントリを削除するときに使用されます。ドメイン コント ローラーで SPN キャッシュが無効になります。クライアントおよびメンバー サーバー エージング (SPN が見つからない) 否定応答キャッシュ エントリを削除してこの値を使用します。注: 有効な SPN キャッシュ エントリ (i.e.not ネガティブ キャッシュ) 作成が 15 分間続くと削除されません。ただしは、SPNCacheTimeouvalue も SPN キャッシュが使用は、この値を清掃する 350 のエントリに達したら SPN キャッシュを管理しやすいサイズに - を減らすために使用されます/古いおよび未使用のエントリをクリーンアップします。
  • エントリ: S4UCacheTimeout
    種類: REG_DWORD
    既定値値: 15 分

    この値は、S4U 負の有効期間です。S4U プロキシ要求の数を制限するために使用するエントリをキャッシュします。特定のコンピューター。
  • エントリ: S4UTicketLifetime
    種類: REG_DWORD
    既定値値: 15 分

    この値は、チケットの有効期間です。S4U プロキシ要求を取得します。
  • エントリ: RetryPdc
    種類: REG_DWORD
    デフォルト値: 0(false)
    使用可能な値: 0 (false)、またはすべて 0 以外の値 (true)

    この値が、クライアントがプライマリに問い合わせますかどうかを示しますドメイン コント ローラー認証サービス要求 (AS_REQ) の場合、クライアントパスワードの有効期限エラーを受け取ります。
  • エントリ: RequestOptions
    種類: REG_DWORD
    既定値値: 任意の RFC 1510 値

    この値が存在するかどうかを示しますKDC のオプションでは、チケット交付サービスに送信する必要がありますその他のオプション(TGS_REQ) を要求します。
  • エントリ: ClientIpAddress
    種類: REG_DWORD
    既定値値: 0 (この設定 0 動的ホスト構成プロトコルのためには、ネットワーク アドレス変換の問題します。)
    使用可能な値: 0 (false) または0 以外の値 (true)

    この値は、クライアントの IP アドレスかどうかCaddr フィールド内のすべての IP アドレスを格納するを強制的に AS_REQ で追加します。チケット。
  • エントリ: TgtRenewalTime
    種類: REG_DWORD
    既定値値: 600 秒

    この値は Kerberos の前に待機する時間です。それは、チケット保証チケット (TGT) チケットの前に更新しよう期限が切れます。
  • エントリ: AllowTgtSessionKey
    種類: REG_DWORD
    既定値値: 0
    使用可能な値: 0 (false)、またはすべて 0 以外の値 (true)

    この値が初期のセッション キーをエクスポートするかどうかを示しますまたはをレルム間 TGT 認証を通過します。既定値はセキュリティのために false です。理由があります。

レジストリ エントリおよび Kdc キーの値

このセクションに記載されているレジストリ エントリを追加する必要があります。次のレジストリ サブキーには。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
メモ Kdc キー サービス] が表示されていない場合は、作成する必要があります、キーです。
  • エントリ: KdcUseClientAddresses
    種類: REG_DWORD
    デフォルト値: 0
    使用可能な値: 0 (false) または 0 以外の任意の値(true)

    この値で IP アドレスを追加するかどうかを示す、チケット交付サービス返信 (TGS_REP)
  • エントリ: KdcDontCheckAddresses
    種類: REG_DWORD
    デフォルト値: 1
    使用可能な値: 0 (false) または 0 以外の任意の値(true)

    この値は、TGS_REQ の IP アドレスかどうかを指定し、TGT の Caddr フィールドがチェックされます。
  • エントリ: NewConnectionTimeout
    種類: REG_DWORD
    既定値: 10 (秒)

    この値は、時間ですが、最初の TCP エンドポイント接続する前に、データを受信する開いている保持されます。接続を切断します。
  • エントリ: MaxDatagramReplySize
    種類: REG_DWORD
    既定値: 1465 (10 進数のバイト)

    この値は最大値です。UDP のパケット サイズで TGS_REP と認証サービス返信 (AS_REP)メッセージです。パケットのサイズは、この値を超えるかどうか、KDC を取得します。クライアントが TCP に切り替えることを要求するメッセージを KRB_ERR_RESPONSE_TOO_BIG。

    メモ MaxDatagramReplySize 増加を増やす可能性があります、Kerberos に UDP パケットの断片化している可能性です。

    この問題の詳細については、Microsoft では、資料を表示する次の資料番号をクリックします。ナレッジ ベース:
    244474Kerberos が UDP ではなく TCP を使用するを強制する方法
  • エントリ: KdcExtraLogLevel
    種類: REG_DWORD
    既定値値: 2
    使用可能な値:
    • 1 (10 進) または 0x1 (16 進数): 監査 SPN 不明エラーが発生。
    • 2 (10 進) または 0x2 (16 進数): ログ PKINIT エラー。(PKINIT はインターネット技術標準化委員会 (IETF) インターネット ドラフト公開"のではキー暗号化の初期認証で Kerberos。")
    • (10 進) 4 または 0x4 (16 進数): すべての KDC を記録します。エラーが発生。
    • (10 進) 8 または 0x8 (16 進数): S4U2Self チケットを要求するユーザーが対象ユーザーへの十分なアクセス権を持たないために、システム ログに警告イベント 25 ログ KDC。
    • (10 進) 16 または 0x10 (16 進数): 暗号化の種類 (ETYPE) と不正なオプション エラーの監査イベントをログします。
    この値は KDC が出力出力されますどのような情報を示します。イベント ログと監査します。
  • エントリ: KdcDebugLevel
    種類: REG_DWORD
    既定値値: 1 チェック ビルドでは、0 を無料に構築します。

    この値を示すどうかデバッグ ログ (1) またはオフ (0)。

    場合は、値を設定するのには0x10000000 (16 進数) または 268435456 (10 進) の場合、特定のファイルや行KERB_ERRORS としてのデータ フィールドの情報が返されますPKERB_EXT_ERROR エラーで、KDC の処理に失敗します。

プロパティ

文書番号: 837361 - 最終更新日: 2011年7月30日 - リビジョン: 7.0
キーワード:?
kbinfo kbregistry kbsecurityservices kbwinservnetwork kbmt KB837361 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:837361
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com