ID do artigo: 837361 - Última revisão: sexta-feira, 11 de abril de 2008 - Revisão: 5.3

Entradas de registro do protocolo Kerberos e chaves de configuração do KDC no Windows Server 2003

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Recolher tudo

Sumário

Este artigo contém informações sobre entradas do Registro relacionadas ao protocolo Kerberos versão 5 autenticação no Microsoft Windows Server 2003.
Voltar para o início

INTRODUÇÃO

Kerberos é um mecanismo de autenticação que é usado para verificar a identidade do host ou usuário. Kerberos é o método de autenticação preferencial para serviços no Windows Server 2003.

Se você estiver executando o Windows Server 2003, você pode modificar parâmetros de Kerberos para ajudar a solucionar Kerberos problemas de autenticação ou testar o protocolo Kerberos. Para fazer isso, adicionar ou modificar as entradas do registro que são listadas em "Mais informações" seção.
Voltar para o início

Mais Informações

Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de que você siga estas etapas cuidadosamente. Para proteção adicional, faça backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
322756  (http://support.microsoft.com/kb/322756/ ) Como fazer backup e restaurar o registro no Windows
Observação Após concluir o teste de Kerberos ou Solucionando problemas de protocolo, remova quaisquer entradas de registro que você adicionar. Caso contrário, o desempenho do seu computador pode ser afetado.
Voltar para o início

Entradas do Registro e valores sob a chave Parameters

As entradas do Registro listadas nesta seção devem ser adicionadas para a seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Observação Se a chave Parameters não estiver listada em Kerberos, você deve criar a chave.
  • Entrada: SkewTime
    Tipo: REG_DWORD
    Valor padrão: 5 (minutos)

    Esse valor é a diferença de tempo máximo permitida entre o computador cliente e o servidor aceita Kerberos autenticação. No Windows 2000 verificado versão de compilação, o padrão SkewTime valor é 2 horas.

    Observação Uma versão de compilação verificada do sistema operacional Windows é usada em ambientes de teste e produção. (Compilação verificada é também conhecido como uma versão de depuração.) Compilação verificada tem muitas otimizações de compilador desativadas. Esse tipo de compilação rastreamento ajuda a causa de problemas no software do sistema. Compilação verificada ativa várias verificações de depuração no código do sistema operacional e os drivers do sistema. Essas verificações depuração ajudam compilação verificada identificar inconsistências internas tão logo eles ocorrem. Compilação verificada é maior e mais lenta a execução de uma versão de usuário final do Windows.

    Uma versão de usuário final do Windows é também conhecido como uma versão de compilação livre ou uma versão de compilação de varejo. Em uma versão de compilação livre, informações de depuração é removida e Windows é criado com otimizações de compilador completo. Uma versão de compilação livre é mais rápida e usa menos memória que uma versão de compilação verificada.
  • Entrada: LogLevel
    Tipo: REG_DWORD
    Valor padrão: 0

    Esse valor indica se os eventos são registrados no log de eventos do sistema. Se esse valor é definido como qualquer valor diferente de zero, todos os eventos relacionados a Kerberos são registrados no log de eventos do sistema.
  • Entrada: MaxPacketSize
    Tipo: REG_DWORD
    Valor padrão: 1465 (bytes)

    Esse valor é o máximo User Datagram Protocol (UDP) tamanho do pacote. Se o tamanho do pacote exceder esse valor, o TCP é usado.
  • Entrada: StartupTime
    Tipo: REG_DWORD
    Valor padrão: 120 (segundos)

    Esse valor é o tempo que Windows aguarda para o Centro de distribuição de chaves (KDC) para iniciar antes que o Windows oferece.
  • Entrada: KdcWaitTime
    Tipo: REG_DWORD
    Valor padrão: 10 (segundos)

    Esse valor é o tempo que Windows aguarda uma resposta de um KDC.
  • Entrada: KdcBackoffTime
    Tipo: REG_DWORD
    Valor padrão: 10 (segundos)


    Esse valor é o tempo entre chamadas sucessivas para o KDC se a chamada anterior falhou.
  • Entrada: KdcSendRetries
    Tipo: REG_DWORD
    Valor padrão: 3

    Esse valor é o número de vezes que um cliente irá tentar contatar um KDC.
  • Entrada: DefaultEncryptionType
    Tipo: REG_DWORD
    Valor padrão: 23 (decimal) ou 0x17 (hexadecimal)

    Esse valor indica o tipo de criptografia padrão para pré-autenticação.
  • Entrada: FarKdcTimeout
    Tipo: REG_DWORD
    Valor padrão: 10 (minutos)

    Esse é o valor de tempo limite é usado para invalidar um controlador de domínio de um site diferente no cache de controlador de domínio.
  • Entrada: NearKdcTimeout
    Tipo: REG_DWORD
    Valor padrão: 30 (minutos)

    Esse é o valor de tempo limite é usado para invalidar um controlador de domínio no mesmo site no cache de controlador de domínio.
  • Entrada: StronglyEncryptDatagram
    Tipo: REG_BOOL
    Valor padrão: FALSO

    Este valor contém um sinalizador que indica se deve usar criptografia de 128 bits para pacotes de datagrama.
  • Entrada: MaxReferralCount
    Tipo: REG_DWORD
    Valor padrão: 6

    Esse valor é o número de referências de KDC pursues um cliente antes do cliente proporciona backup.
  • Entrada: KerbDebugLevel
    Tipo: REG_DWORD
    Valor padrão: 0xFFFFFFFF

    Esse valor é uma lista de sinalizadores que indicam o tipo e nível de log que é solicitado. Esse tipo de log pode ser coletado no nível do componente do Kerberos por bit a bit ou por um ou mais macros que são descritas na tabela a seguir.
    Recolher esta tabelaExpandir esta tabela
    Nome de macroValorObservação
    DEB_ERROR0 x 00000001Este é o padrão InfoLevel para compilações verificadas. Isso produz mensagens de erro entre componentes.
    DEB_WARN0 x 00000002Essa macro gera mensagens de aviso entre componentes. Em alguns casos, essas mensagens podem ser ignoradas.
    DEB_TRACE0 x 00000004Esta macro permite que os eventos de rastreamento geral.
    DEB_TRACE_API0 x 00000008Esta macro permite que os eventos de rastreamento de usuário API geralmente são registrados na entrada e em Sair para uma função externamente exportada é implementada através de SSPI.
    DEB_TRACE_CRED0 x 00000010Esta macro permite que credenciais de rastreamento.
    DEB_TRACE_CTXT0 x 00000020Esta macro permite que o rastreamento de contexto.
    DEB_TRACE_LSESS0x00000040Esta macro permite que o rastreamento de sessão de logon.
    DEB_TRACE_TCACHE0x00000080Não implementado
    DEB_TRACE_LOGON0 x 00000100Esta macro permite rastreamento logon, como em LsaApLogonUserEx2().
    DEB_TRACE_KDC0x00000200Esta macro permite rastreamento antes e depois chamadas para KerbMakeKdcCall().
    DEB_TRACE_CTXT20 x 00000400Esta macro permite que o rastreamento de contexto adicionais.
    DEB_TRACE_TIME0x00000800Esta macro permite que o tempo de rastreamento distorção é encontrado em Timesync.cxx.
    DEB_TRACE_USER0x00001000Esta macro permite que o rastreamento de API de usuário que é usado juntamente com DEB_TRACE_API e que é encontrado principalmente em Userapi.cxx.
    DEB_TRACE_LEAKS00002000
    DEB_TRACE_SOCK0x00004000Esta macro permite que os eventos relacionados ao Winsock.
    DEB_TRACE_SPN_CACHE0x00008000Esta macro permite que os eventos relacionados a acertos de cache SPN e erros.
    DEB_S4U_ERROR0 x 00010000Não implementado
    DEB_TRACE_S4U0 x 00020000
    DEB_TRACE_BND_CACHE0 x 00040000
    DEB_TRACE_LOOPBACK0 x 00080000
    DEB_TRACE_TKT_RENEWAL0x00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000Não implementado
  • Entrada: MaxTokenSize
    Tipo: REG_DWORD
    Valor padrão: 12000 (decimal)

    Este é o valor máximo dos Kerberos token. A Microsoft recomenda que você defina este valor como menor do que 65535.
  • Entrada: SpnCacheTimeout
    Tipo: REG_DWORD
    Valor padrão: 15 minutos

    Esse valor é o tempo de vida das entradas de cache de nomes principais de serviço (SPN). Em controladores de domínio, o cache SPN está desabilitado.
  • Entrada: S4UCacheTimeout
    Tipo: REG_DWORD
    Valor padrão: 15 minutos

    Esse valor é o tempo de vida das entradas negativas do cache S4U que são usados para restringir o número de solicitações de proxy S4U de determinado computador.
  • Entrada: S4UTicketLifetime
    Tipo: REG_DWORD
    Valor padrão: 15 minutos

    Esse valor é o tempo de vida de tíquetes que são obtidos por S4U solicitações de proxy.
  • Entrada: RetryPdc
    Tipo: REG_DWORD
    Valor padrão: 0 (FALSO)
    Valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (VERDADEIRO)

    Esse valor indica se o cliente entrará em contato com o controlador de domínio primário para solicitações de serviço de autenticação (AS_REQ) se o cliente recebe um erro de expiração de senha.
  • Entrada: RequestOptions
    Tipo: REG_DWORD
    Valor padrão: Valor de qualquer RFC 1510

    Esse valor indica que se houver opções adicionais que devem ser enviadas como opções do KDC no solicitações (TGS_REQ) de serviço de concessão de tíquete.
  • Entrada: ClientIpAddress
    Tipo: REG_DWORD
    Padrão valor: 0 (essa configuração é 0 devido a problemas de conversão de endereço de rede e Dynamic Host Configuration Protocol).
    Valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (VERDADEIRO)

    Esse valor indica se um endereço IP do cliente será adicionado em AS_REQ forçar campo Caddr para conter endereços IP em todos os tíquetes.
  • Entrada: TgtRenewalTime
    Tipo: REG_DWORD
    Valor padrão: 600 segundos

    Esse valor é o tempo que o Kerberos aguardará antes de ele tenta renovar um tíquete (TGT concessão) antes de expira o tíquete.
  • Entrada: AllowTgtSessionKey
    Tipo: REG_DWORD
    Valor padrão: 0
    Valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (VERDADEIRO)

    Esse valor indica se as chaves de sessão são exportadas com inicial ou entre território TGT autenticação. O valor padrão é false por motivos de segurança.
Voltar para o início

Entradas do Registro e valores de chave KDC

As entradas do Registro listadas nesta seção devem ser adicionadas para a seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Observação Se a chave KDC não está listada em serviços, você deve criar a chave.
  • Entrada: KdcUseClientAddresses
    Tipo: REG_DWORD
    Valor padrão: 0
    Valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (VERDADEIRO)

    Esse valor indica se endereços IP serão adicionados em concessão Service Reply (TGS_REP).
  • Entrada: KdcDontCheckAddresses
    Tipo: REG_DWORD
    Valor padrão: 1
    Valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (VERDADEIRO)

    Esse valor indica se os endereços IP para o TGS_REQ e campo TGT Caddr serão verificados.
  • Entrada: NewConnectionTimeout
    Tipo: REG_DWORD
    Valor padrão: 10 (segundos)

    Esse valor é o tempo que uma conexão de ponto de extremidade TCP inicial será mantida aberta para receber dados antes de ele desconecta.
  • Entrada: MaxDatagramReplySize
    Tipo: REG_DWORD
    Valor padrão: 1465 (decimais, bytes)

    Esse valor é o tamanho máximo do pacote UDP em mensagens TGS_REP e respostas de serviço de autenticação (AS_REP). Se o tamanho do pacote exceder esse valor, o KDC retorna uma mensagem de KRB_ERR_RESPONSE_TOO_BIG solicita que o cliente alterne para TCP.

    Observação Aumentar MaxDatagramReplySize pode aumentar a probabilidade de pacotes Kerberos UDP sendo fragmentado.

    Para obter mais informações sobre esse problema, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
    244474  (http://support.microsoft.com/kb/244474/ ) Como forçar o Kerberos para usar TCP em vez de UDP no Windows
  • Entrada: KdcExtraLogLevel
    Tipo: REG_DWORD
    Valor padrão: 2
    Valores possíveis:
    • 1 (decimal) ou 0 x 1 (hexadecimal): auditoria SPN erros desconhecidos.
    • 2 (decimal) ou 0 x 2 (hexadecimal): erros de log PKINIT. (PKINIT é um rascunho da Internet Engineering Task Force (IETF) Internet para "Criptografia de chave pública para autenticação inicial em Kerberos.")
    • 4 (decimal) ou 0 x 4 (hexadecimal): fazer KDC todos os erros.
    • 8 (decimal) ou 0 x 8 (hexadecimal): evento de aviso de log KDC 25 no log do sistema quando perguntando S4U2Self tíquete de usuário não tem acesso suficiente para usuário de destino.
    • 16 (decimal) ou 0 x 10 (hexadecimal): log eventos de auditoria no tipo de criptografia (ETYPE) e erros de opções inválida.
    Esse valor indica quais informações o KDC gravará logs de eventos e para auditorias.
  • Entrada: KdcDebugLevel
    Tipo: REG_DWORD
    Valor padrão: 1 para compilação verificada, 0 para compilação livre

    Esse valor indica se o log de depuração é em (1) ou desativado (0).

    Se o valor é definido para 0x10000000 (hexadecimal) ou 268435456 (decimal), o informações específicas do arquivo ou a linha serão retornadas no campo edata de KERB_ERRORS como PKERB_EXT_ERROR erros durante uma falha de processamento do KDC.
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Voltar para o início
Palavras-chave: 
kbmt kbwinservnetwork kbsecurityservices kbregistry kbinfo KB837361 KbMtpt
Voltar para o início
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 837361  (http://support.microsoft.com/kb/837361/en-us/ )
Voltar para o início