Kerberos 프로토콜 레지스트리 항목 및 Windows Server 2003에서 KDC 구성 키

기술 자료 번역 기술 자료 번역
기술 자료: 837361 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 Microsoft Windows Server 2003에서는 Kerberos 버전 5 인증 프로토콜이 관련된 레지스트리 항목에 대한 정보가 들어 있습니다.

소개(Introduction)

Kerberos는 사용자 또는 호스트의 ID를 확인하는 데 사용되는 인증 메커니즘입니다. Kerberos 서비스 Windows Server 2003의 기본 인증 방법입니다.

Windows Server 2003을 실행 중인 경우 Kerberos 문제를 해결하는 데 도움이 되는 Kerberos 매개 변수를 수정할 수 인증 문제 또는 Kerberos 프로토콜을 테스트합니다. 이렇게 하려면 추가 또는 수정, 추가 정보 "에 나와 있는 레지스트리 항목을 섹션.

추가 정보

중요 이 섹션에서는, 메서드 또는 작업이 레지스트리 수정 방법을 알려 주는 단계가 포함되어 있습니다. 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하십시오. 문제가 발생하면 백업 파일을 사용하여 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오:
322756Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법
참고 문제 해결 또는 Kerberos 테스트를 마친 후 프로토콜, 추가 레지스트리 항목을 제거합니다. 그렇지 않은 경우에는 컴퓨터 성능이 저하될 수 있습니다.

레지스트리 항목 및 매개 변수 키 아래의 값을

이 절에 나열된 레지스트리 항목은 다음 레지스트리 하위 키는 추가해야 합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
참고 매개 변수 키를 Kerberos 아래 목록에 없으면 해당 키를 만들어야 합니다.
  • 항목: SkewTime
    형식: REG_DWORD
    기본값: 5 (분)

    이 값이 허용되는 최대 시간 차이를 Kerberos 받아들이는 서버와 클라이언트 컴퓨터 간에 인증. 빌드 버전 2 시간 값이 SkewTime 기본 Windows 2000 검사합니다.

    참고 확인된 빌드 버전의 Windows 운영 체제를 생산 및 테스트 환경에서가 사용됩니다. 확인된 빌드, 디버그 버전을 알려져 있습니다. 확인된 빌드 많은 컴파일러 최적화 기능을 해제할 수 있습니다. 이 종류의 빌드할 수 있도록 추적 시스템 소프트웨어가 문제의 원인을. 확인된 빌드 디버깅 검사를 많은 시스템 드라이버 및 운영 체제 코드 예제입니다. 이 디버깅 검사가 확인된 빌드를 내부 일관성 오류가 발생할 때 즉시 확인할 수 있습니다. 확인된 빌드 크고, 최종 사용자 버전은 Windows 것보다 실행 속도가 느립니다.

    최종 사용자 버전은 Windows 무료 빌드 버전 또는 일반 정품 빌드 버전 알려져 있습니다. 무료 빌드 버전 에서 디버깅 정보가 제거되고 전체 컴파일러 최적화를 Windows 빌드됩니다. 무료 빌드 버전 빠르며 확인된 빌드 버전보다 더 적은 메모리를 사용합니다.
  • 항목: LogLevel
    형식: REG_DWORD
    기본값: 0

    이 값은 시스템 이벤트 로그에 이벤트를 기록하는 여부를 나타냅니다. 이 값은 모든 0이 아닌 값으로 설정된 경우 모든 Kerberos 관련 이벤트가 시스템 이벤트 로그에 기록됩니다.
  • 항목: MaxPacketSize
    형식: REG_DWORD
    기본 값: 1465 (바이트 단위)

    이 값이 최대 사용자 데이터그램 프로토콜 (UDP) 패킷 크기. 이 값은 패킷 크기를 초과하는 경우 TCP이 사용됩니다.
  • 항목: StartupTime
    형식: REG_DWORD
    기본값: 120 (초 단위)

    Windows 키 배포 센터 (KDC)를 Windows 제공하기 전에 시작할 때까지 대기하는 시간 값입니다.
  • 항목: KdcWaitTime
    형식: REG_DWORD
    기본값: 10 (초 단위)

    Windows는 KDC 응답을 기다리는 시간 값입니다.
  • 항목: KdcBackoffTime
    형식: REG_DWORD
    기본 값: 10 (초 단위)


    이 값은 후속 호출 이전 호출이 실패한 경우 KDC 사이의 시간입니다.
  • 항목: KdcSendRetries
    형식: REG_DWORD
    기본 값: 3

    클라이언트, KDC 문의하십시오 시도할 횟수를 값입니다.
  • 항목: DefaultEncryptionType
    형식: REG_DWORD
    기본값: 23 (10진수) 또는 0x17 (16진수)

    이 값은 사전 인증은 기본 암호화 종류를 나타냅니다.
  • 항목: FarKdcTimeout
    형식: REG_DWORD
    기본 값: 10 (분)

    이 도메인 컨트롤러에서 다른 사이트에 있는 도메인 컨트롤러 캐시 무효화하는 데 사용되는 시간 제한 값입니다.
  • 항목: NearKdcTimeout
    형식: REG_DWORD
    기본 값: 30 (분)

    도메인 컨트롤러가 같은 사이트에 도메인 컨트롤러가 캐시에 무효화할 사용되는 시간 제한 값입니다.
  • 항목: StronglyEncryptDatagram
    형식: REG_BOOL
    기본값: 거짓

    이 값은 데이터그램 패킷의 128비트 암호화를 사용할지 여부를 나타내는 플래그를 포함합니다.
  • 항목: MaxReferralCount
    형식: REG_DWORD
    기본 값: 6

    이 값은 최대 클라이언트 제공하며 전에 클라이언트가 pursues KDC 조회를 숫자입니다.
  • 항목: KerbDebugLevel
    형식: REG_DWORD
    기본 값: 0xFFFFFFFF

    이 값은 해당 형식을 나타내는 플래그 목록입니다 및 해당 로깅 수준을 요청했습니다. 이러한 종류의 로깅 비트 또는 하나 이상의 다음 표에서 설명하는 매크로는 Kerberos 구성 요소 수준의 수집할 수 있습니다.
    표 축소표 확대
    macro nameVALUENOTE
    DEB_ERROR0x00000001기본값 확인된 빌드 InfoLevel. 이 구성 요소를 통해 오류 메시지를 생성합니다.
    DEB_WARN0x00000002 메시지가 나타난다이 매크로 구성 요소를 통해 경고 메시지를 생성합니다. 경우에 따라서는 이 메시지는 무시할 수 있습니다.
    DEB_TRACE0x00000004이 매크로는 일반 추적 이벤트가 있습니다.
    DEB_TRACE_API0x00000008이 매크로를 항목에 및 외부적으로 내보낸된 함수를 통해 SSPI 구현되는 끝낼 때 일반적으로 기록되는 API 사용자 추적 이벤트가 있습니다.
    DEB_TRACE_CRED0x00000010이 매크로를 자격 증명을 추적할 수 있습니다.
    DEB_TRACE_CTXT0x00000020이 매크로는 컨텍스트 추적을 설정합니다.
    DEB_TRACE_LSESS0x00000040이 매크로는 로그온 세션 추적을 설정합니다.
    DEB_TRACE_TCACHE0x00000080구현되지 않음
    DEB_TRACE_LOGON0x00000100이 매크로는 LsaApLogonUserEx2() 있는 것과 같은 로그온 추적을 설정합니다.
    DEB_TRACE_KDC0x00000200이 매크로는 KerbMakeKdcCall() 호출 전후의 추적을 설정합니다.
    deb_trace_ctxt20x00000400이 매크로 추가 컨텍스트를 추적을 설정합니다.
    DEB_TRACE_TIME0x00000800이 매크로를 시간이 Timesync.cxx의 기울기 추적을 찾을 수 있습니다.
    DEB_TRACE_USER0x00001000이 매크로를 사용자 API 추적을 DEB_TRACE_API 함께 사용되며 주로 Userapi.cxx 찾을 수 있습니다.
    DEB_TRACE_LEAKS0x00002000
    DEB_TRACE_SOCK0x00004000이 매크로를 Winsock 관련 이벤트가 있습니다.
    DEB_TRACE_SPN_CACHE0x00008000이 매크로를 SPN 캐시 적중 및 누락 관련 이벤트가 있습니다.
    deb_s4u_error0x00010000구현되지 않음
    deb_trace_s4u0x00020000
    DEB_TRACE_BND_CACHE0x00040000
    DEB_TRACE_LOOPBACK0x00080000
    DEB_TRACE_TKT_RENEWAL0x00100000
    deb_trace_u2u0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000구현되지 않음
  • 항목: MaxTokenSize
    형식: REG_DWORD
    기본값: 12000 (십진수)

    이 값은 Kerberos 최대 값입니다 토큰입니다. 65535 보다 작은 이 값을 설정하는 것이 좋습니다.
  • 항목: SpnCacheTimeout
    형식: REG_DWORD
    기본 값: 15분

    서비스 사용자 이름 (SPN) 캐시 엔트리의 수명을 값입니다. 도메인 컨트롤러에 SPN을 캐시를 사용할 수 없습니다.
  • 항목: S4UCacheTimeout
    형식: REG_DWORD
    기본 값: 15분

    특정 컴퓨터에서 S4U 프록시 요청 수를 제한하는 데 사용되는 S4U 부정 캐시 엔트리의 수명을 값입니다.
  • 항목: S4UTicketLifetime
    형식: REG_DWORD
    기본 값: 15분

    S4U 프록시 요청을 통해 얻은 티켓의 수명을 값입니다.
  • 항목: RetryPdc
    형식: REG_DWORD
    기본값: 0 (False)
    사용 가능한 값: 0 (거짓) 이나 0이 아닌 값을 (참)

    이 값은 클라이언트가 암호 만료 오류를 받으면 클라이언트가 주 도메인 컨트롤러 인증 서비스 요청 (AS_REQ)를 위한 연락을 여부를 나타냅니다.
  • 항목: RequestOptions
    형식: REG_DWORD
    기본 값: 모든 RFC 1510에 값

    이 값 (TGS_REQ) 티켓 부여 서비스 요청을 KDC 옵션으로 보내야 하는 추가 옵션이 있는지 여부를 나타냅니다.
  • 항목: ClientIpAddress
    형식: REG_DWORD
    기본 값: 0이 이 설정은 동적 호스트 구성 프로토콜 및 네트워크 주소 변환 문제 때문에 0 입니다.
    사용 가능한 값: 0 (거짓) 이나 0이 아닌 값을 (참)

    이 값은 클라이언트 IP 주소: 모든 IP 주소가 포함된 Caddr 필드 강제로 AS_REQ 추가할지 여부를 나타냅니다.
  • 항목: TgtRenewalTime
    형식: REG_DWORD
    기본 값: 600 초

    Kerberos 대기 전에 이를 사용하려고 티켓 부여 티켓 (TGT) 티켓이 만료되기 전에 갱신 시간 값입니다.
  • 항목: AllowTgtSessionKey
    형식: REG_DWORD
    기본 값: 0
    사용 가능한 값: 0 (거짓) 이나 0이 아닌 값을 (참)

    이 값은 세션 키 또는 초기 함께 내보낼 나타내는 상호 영역 TGT 인증. 기본값은 보안상의 이유로 false 입니다.

레지스트리 항목 및 Kdc 키 아래에 값이

이 절에 나열된 레지스트리 항목은 다음 레지스트리 하위 키는 추가해야 합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
참고 Kdc 키 아래에 서비스 목록에 없으면 해당 키를 만들어야 합니다.
  • 항목: KdcUseClientAddresses
    형식: REG_DWORD
    기본값: 0
    사용 가능한 값: 0 (거짓) 또는 0이 아닌 값 (True)

    이 값은 IP 주소, 티켓 부여 서비스 응답 (TGS_REP의) 추가할지 여부를 나타냅니다.
  • 항목: KdcDontCheckAddresses
    형식: REG_DWORD
    기본값: 1
    사용 가능한 값: 0 (거짓) 또는 0이 아닌 값 (True)

    이 값은 IP 주소가 있는 TGS_REQ 및 Caddr TGT를 필드를 확인할 수 있는지 여부를 나타냅니다.
  • 항목: NewConnectionTimeout
    형식: REG_DWORD
    기본값: 10 (초 단위)

    초기 TCP 끝점에서 연결을 것이 연결을 끊기 전에 데이터를 수신하는 열린 유지되는 시간 값입니다.
  • 항목: MaxDatagramReplySize
    형식: REG_DWORD
    기본값: 1465 (십진수,) 입니다.

    최대 UDP 패킷 크기를 TGS_REP 및 AS_REP 인증 서비스가 회신 메시지 값입니다. 패킷 크기를 이 값을 초과하면 KDC 클라이언트는 TCP 전환 요청을 KRB_ERR_RESPONSE_TOO_BIG 메시지를 반환합니다.

    참고 MaxDatagramReplySize Kerberos UDP 패킷이 조각화되어 중인 가능성을 증가할 수 있습니다.

    이 문제에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오:
    244474Kerberos Windows UDP 대신 TCP를 사용하는 방법
  • 항목: KdcExtraLogLevel
    형식: REG_DWORD
    기본 값: 2
    가능한 값:
    • 1 (10진수) 또는 0x1 (16진수): 감사 SPN을 알 수 없는 오류.
    • 2 (10진수) 또는 0x2 (16진수): 로그 PKINIT 오류. "공개 키 암호화 Kerberos 초기 인증을."에 대한 인터넷 엔지니어링 작업 강제 (IETF) 인터넷 초안 (PKINIT.)
    • 4 (10진수) 또는 0x4 (16진수): 모든 KDC 기록 오류.
    • 8 (10진수) 또는 0x8 (16진수): S4U2Self 티켓을 요청하는 사용자에게 대상 사용자에게 충분한 액세스 권한이 없는 경우 시스템 로그에 로그 KDC 경고 이벤트가 25.
    • 16 (10 진수) 또는 0x10 (16진수): (ETYPE) 암호화 유형 및 옵션에 잘못된 오류를 로그에 감사 이벤트가.
    이 값은 KDC 수 이벤트 로그를 작성할 정보 감사를 나타냅니다.
  • 항목: KdcDebugLevel
    형식: REG_DWORD
    기본 값: 확인된 빌드 1, 0 무료 빌드

    이 값은 디버그 로깅 (1) 에 있는지 여부를 나타내는 또는 해제 (0).

    값이 0x10000000 (16진수) 또는 268435456 (10진수) 설정된 경우 특정 파일 또는 줄 정보는 KERB_ERRORS edata 필드에서 PKERB_EXT_ERROR 오류로 KDC 처리 오류 발생 시 반환됩니다.

속성

기술 자료: 837361 - 마지막 검토: 2008년 4월 11일 금요일 - 수정: 5.3
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
키워드:?
kbmt kbwinservnetwork kbsecurityservices kbregistry kbinfo KB837361 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.
이 문서의 영문 버전 보기:837361

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com