Artigo: 837361 - Última revisão: sexta-feira, 11 de Abril de 2008 - Revisão: 5.3

Entradas de registo do protocolo Kerberos e chaves de configuração de KDC no Windows Server 2003

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Reduzir tudo

Sumário

Este artigo contém informações sobre as entradas de registo que se relacionam com o protocolo Kerberos versão 5 autenticação no Microsoft Windows Server 2003.
Voltar ao topo

INTRODUÇÃO

Kerberos é um mecanismo de autenticação que é utilizado para verificar o utilizador ou identidade do anfitrião. Kerberos é o método de autenticação preferido para serviços no Windows Server 2003.

Se estiver a executar o Windows Server 2003, pode modificar os parâmetros de Kerberos para o ajudar a resolver problemas relacionados com Kerberos problemas de autenticação ou para testar o protocolo Kerberos. Para efectuar este procedimento, adicionar ou modificar as entradas de registo listadas na "Mais informações" secção.
Voltar ao topo

Mais Informação

Importante Esta secção, método ou tarefa contém passos que a saber como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar uma cópia de segurança e restaurar o registo no Windows
Nota Depois de concluir a resolução de problemas ou testar os Kerberos protocolo, remova quaisquer entradas de registo que adicionar. Caso contrário, o desempenho do computador poderão ser afectado.
Voltar ao topo

Entradas do registo e valores da chave de parâmetros

As entradas de registo listadas nesta secção têm de ser adicionadas à seguinte subchave do registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nota Se a chave Parameters não estiver listada em Kerberos, tem de criar a chave.
  • Entrada: SkewTime
    Tipo: REG_DWORD
    Valor predefinido: 5 (minutos)

    Este valor é a diferença de tempo máximo que é permitida entre o computador cliente e o servidor que aceita Kerberos autenticação. No Windows 2000 dada versão de compilação, a predefinição SkewTime valor é 2 horas.

    Nota Uma versão de compilação verificada do sistema operativo Windows é utilizada em ambientes de testes e produção. (Uma compilação verificada é também conhecido como uma versão de depuração.) Uma compilação verificada tem várias optimizações de compilador desactivadas. Este tipo de compilação rastreio ajuda à causa dos problemas no software de sistema. Activa uma compilação verificada várias verificações de depuração no código do sistema operativo e os controladores de sistema. Estas verificações depuração ajudam a compilação verificada identificar inconsistências internas assim que estas vão ocorrendo. Uma compilação verificada é maior e mais lenta a execução do que uma versão para utilizador final do Windows.

    Uma versão para utilizador final do Windows também é conhecido como uma versão free build ou uma versão de compilação de revenda. Numa versão free build, informações de depuração é removida e Windows é criado com as optimizações do compilador completo. Uma versão free build é mais rápida e utiliza menos memória do que uma versão de compilação verificada.
  • Entrada: LogLevel
    Tipo: REG_DWORD
    Valor predefinido: 0

    Este valor indica se os eventos são registados no registo de eventos do sistema. Se este valor é definido para qualquer valor diferente de zero, todos os eventos relacionados com Kerberos são registados no registo de eventos do sistema.
  • Entrada: MaxPacketSize
    Tipo: REG_DWORD
    Valor predefinido: 1465 (bytes)

    Este valor é o máximo User Datagram Protocol (UDP) tamanho de pacote. Se o tamanho do pacote exceder este valor, TCP é utilizada.
  • Entrada: StartupTime
    Tipo: REG_DWORD
    Valor predefinido: 120 (segundos)

    Este valor é o tempo que o Windows aguarda o Key Distribution Center (KDC) para iniciar antes do Windows proporciona.
  • Entrada: KdcWaitTime
    Tipo: REG_DWORD
    Valor predefinido: 10 (segundos)

    Este valor é o tempo que Windows aguarda uma resposta a partir de um KDC.
  • Entrada: KdcBackoffTime
    Tipo: REG_DWORD
    Valor predefinido: 10 (segundos)


    Este valor é o tempo entre chamadas sucessivas para o KDC se a chamada anterior falhou.
  • Entrada: KdcSendRetries
    Tipo: REG_DWORD
    Valor predefinido: 3

    Este valor é o número de vezes que um cliente tentará contactar um KDC.
  • Entrada: DefaultEncryptionType
    Tipo: REG_DWORD
    Valor predefinido: 23 (decimal) ou 0x17 (hexadecimal)

    Este valor indica o tipo de encriptação predefinido para pré-autenticação.
  • Entrada: FarKdcTimeout
    Tipo: REG_DWORD
    Valor predefinido: 10 (minutos)

    Este é o valor de limite de tempo que é utilizado para invalidar um controlador de domínio de um site diferente na cache do controlador de domínio.
  • Entrada: NearKdcTimeout
    Tipo: REG_DWORD
    Valor predefinido: 30 (minutos)

    Este é o valor de limite de tempo que é utilizado para invalidar um controlador de domínio no mesmo local na cache do controlador de domínio.
  • Entrada: StronglyEncryptDatagram
    Tipo: REG_BOOL
    Valor predefinido: FALSE

    Este valor contém um sinalizador que indica se a utilizar encriptação de 128 bits para datagramas.
  • Entrada: MaxReferralCount
    Tipo: REG_DWORD
    Valor predefinido: 6

    Este valor é o número de referências de KDC que um cliente pursues antes do cliente permite até.
  • Entrada: KerbDebugLevel
    Tipo: REG_DWORD
    Valor de predefinição: 0xFFFFFFFF

    Este valor é uma lista de sinalizadores que indicam o tipo e o nível de registo que é pedido. Este tipo de registo pode ser recolhido o nível de componente de Kerberos por bit a bit ou por um ou mais macros que são descritas na tabela seguinte.
    Reduzir esta tabelaExpandir esta tabela
    Nome de macroValorNota
    DEB_ERROR0 x 00000001Esta é a predefinição InfoLevel para compilações verificadas. Isto produz mensagens de erro através de componentes.
    DEB_WARN0 x 00000002Esta macro gera mensagens de aviso entre componentes. Em alguns casos, estas mensagens podem ser ignoradas.
    DEB_TRACE0 x 00000004Esta macro permite que os eventos de rastreio geral.
    DEB_TRACE_API0 x 00000008Esta macro permite que os eventos de rastreio de API de utilizador que normalmente são registados no entrada e saída para uma função exportada externamente que é implementada através de SSPI.
    DEB_TRACE_CRED0 x 00000010Esta macro permite que as credenciais de rastreio.
    DEB_TRACE_CTXT0 x 00000020Esta macro activa o rastreio de contexto.
    DEB_TRACE_LSESS0x00000040Esta macro activa o rastreio de sessão de início de sessão.
    DEB_TRACE_TCACHE0x00000080Não implementado
    DEB_TRACE_LOGON0x00000100Esta macro activa o rastreio de início de sessão, tais como em LsaApLogonUserEx2().
    DEB_TRACE_KDC0x00000200Esta macro activa o rastreio antes e depois de chamadas para KerbMakeKdcCall().
    DEB_TRACE_CTXT20 x 00000400Esta macro activa o rastreio de contexto adicionais.
    DEB_TRACE_TIME0x00000800Esta macro permite que o tempo de distorção rastreio está localizado na Timesync.cxx.
    DEB_TRACE_USER0x00001000Esta macro activa o rastreio de API de utilizador que é utilizado em conjunto com DEB_TRACE_API e que é encontrado principalmente na Userapi.cxx.
    DEB_TRACE_LEAKS0x00002000
    DEB_TRACE_SOCK0x00004000Esta macro permite que os eventos relacionados com o Winsock.
    DEB_TRACE_SPN_CACHE0x00008000Esta macro permite que os eventos relacionados com falhas e de acertos de cache SPN.
    DEB_S4U_ERROR0 x 00010000Não implementado
    DEB_TRACE_S4U0 x 00020000
    DEB_TRACE_BND_CACHE0x00040000
    DEB_TRACE_LOOPBACK0 x 00080000
    DEB_TRACE_TKT_RENEWAL0x00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000Não implementado
  • Entrada: MaxTokenSize
    Tipo: REG_DWORD
    Valor predefinido: 12000 (decimal)

    Este valor é o valor máximo dos Kerberos token. A Microsoft recomenda que configure este valor e menor que 65535.
  • Entrada: SpnCacheTimeout
    Tipo: REG_DWORD
    Valor predefinido: 15 minutos

    Este valor é a duração das entradas de cache de nomes principais de serviço (SPN). Em controladores de domínio, a cache de SPN está desactivada.
  • Entrada: S4UCacheTimeout
    Tipo: REG_DWORD
    Valor predefinido: 15 minutos

    Este valor é a duração das entradas de cache negativas S4U que são utilizados para restringir o número de pedidos de proxy S4U a partir de um computador específico.
  • Entrada: S4UTicketLifetime
    Tipo: REG_DWORD
    Valor predefinido: 15 minutos

    Este valor é a duração das permissões que são obtidos por pedidos de proxy S4U.
  • Entrada: RetryPdc
    Tipo: REG_DWORD
    Valor predefinido: 0 (false)
    Os valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (verdadeiro)

    Este valor indica se o cliente irá contactar o controlador de domínio principal para pedidos de serviço de autenticação (AS_REQ) se o cliente recebe um erro de expiração de palavra-passe.
  • Entrada: RequestOptions
    Tipo: REG_DWORD
    Valor predefinido: Valor de qualquer RFC 1510

    Este valor indica que se existem opções adicionais que devem ser enviadas como opções de KDC no serviço de conceder permissão pedidos (TGS_REQ).
  • Entrada: ClientIpAddress
    Tipo: REG_DWORD
    Predefinição valor: 0 (esta definição é 0 devido a problemas de conversão de endereço Dynamic Host Configuration Protocol e de rede.)
    Os valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (verdadeiro)

    Este valor indica se um endereço IP do cliente será adicionado numa AS_REQ para forçar o campo Caddr contenha endereços IP em todas as permissões.
  • Entrada: TgtRenewalTime
    Tipo: REG_DWORD
    Valor de predefinição: 600 segundos

    Este valor é a hora em que Kerberos aguarda antes de tentar renovar uma TGT (permissão conceder permissão) antes do "ticket" expira.
  • Entrada: AllowTgtSessionKey
    Tipo: REG_DWORD
    Valor predefinido: 0
    Os valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (verdadeiro)

    Este valor indica se as chaves de sessão são exportadas com inicial ou cruzada realm TGT autenticação. O valor predefinido é false por motivos de segurança.
Voltar ao topo

Entradas do registo e valores da chave de Kdc

As entradas de registo listadas nesta secção têm de ser adicionadas à seguinte subchave do registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Nota Se a chave de Kdc não estiver listada em serviços, tem de criar a chave.
  • Entrada: KdcUseClientAddresses
    Tipo: REG_DWORD
    Valor predefinido: 0
    Os valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (verdadeiro)

    Este valor indica se os endereços IP serão adicionados em TGS_REP (conceder permissão Service resposta).
  • Entrada: KdcDontCheckAddresses
    Tipo: REG_DWORD
    Valor predefinido: 1
    Os valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (verdadeiro)

    Este valor indica se os endereços IP para o TGS_REQ e o campo TGT Caddr serão verificados.
  • Entrada: NewConnectionTimeout
    Tipo: REG_DWORD
    Valor predefinido: 10 (segundos)

    Este valor é o tempo que uma ligação de ponto final TCP inicial será mantida aberta para receber dados antes de desligar.
  • Entrada: MaxDatagramReplySize
    Tipo: REG_DWORD
    Valor predefinido: 1465 (decimais, bytes)

    Este valor é o tamanho do pacote UDP máximo em mensagens de TGS_REP e respostas de serviço de autenticação (AS_REP). Se o tamanho do pacote exceder este valor, o KDC devolve uma mensagem KRB_ERR_RESPONSE_TOO_BIG que solicita que o cliente mudar para TCP.

    Nota Aumentar MaxDatagramReplySize poderá aumentar a probabilidade de pacotes de UDP de Kerberos ser fragmentado.

    Para obter mais informações sobre este problema, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
    244474  (http://support.microsoft.com/kb/244474/ ) Como forçar o Kerberos a utilizar TCP em vez de UDP no Windows
  • Entrada: KdcExtraLogLevel
    Tipo: REG_DWORD
    Valor predefinido: 2
    Valores possíveis:
    • 1 (decimal) ou 0 x 1 (hexadecimal): auditoria SPN erros desconhecidos.
    • 2 (decimal) ou 0 x 2 (hexadecimal): erros de registo PKINIT. (PKINIT é um rascunho da Internet Internet Engineering Task Force (IETF) para "Public Key Cryptography para autenticação inicial no Kerberos".)
    • 4 (decimal) ou 0 x 4 (hexadecimal): Iniciar KDC todos os erros.
    • 8 (decimal) ou 0 x 8 (hexadecimal): 25 de evento de aviso KDC de registo no registo do sistema quando o utilizador pedir permissão de S4U2Self não tem acesso suficiente para o utilizador de destino.
    • 16 (decimal) ou 0 x 10 (hexadecimal): eventos de registo de auditoria no tipo de encriptação (ETYPE) e erros de opções incorrecto.
    Este valor indica que informações o KDC vai escrever para registos de eventos e para auditorias.
  • Entrada: KdcDebugLevel
    Tipo: REG_DWORD
    Valor predefinido: 1 para compilação verificada, 0 para free build

    Este valor indica se o registo de depuração está activada (1) ou desactivado (0).

    Se o valor estiver definido para 0x10000000 (hexadecimal) ou 268435456 (decimal), informações específicas do ficheiro ou a linha serão devolvidas no campo de KERB_ERRORS edata como erros PKERB_EXT_ERROR durante uma falha de processamento de KDC.
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
Voltar ao topo
Palavras-chave: 
kbmt kbwinservnetwork kbsecurityservices kbregistry kbinfo KB837361 KbMtpt
Voltar ao topo
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 837361  (http://support.microsoft.com/kb/837361/en-us/ )
Voltar ao topo