Entradas de registro do protocolo Kerberos e chaves de configuração do KDC no Windows Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 837361 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo contém informações sobre entradas do Registro relacionadas ao protocolo Kerberos versão 5 autenticação no Microsoft Windows Server 2003.

INTRODUÇÃO

Kerberos é um mecanismo de autenticação que é usado para verificar a identidade do host ou usuário. Kerberos é o método de autenticação preferencial para serviços no Windows Server 2003.

Se você estiver executando o Windows Server 2003, você pode modificar parâmetros de Kerberos para ajudar a solucionar Kerberos problemas de autenticação ou testar o protocolo Kerberos. Para fazer isso, adicionar ou modificar as entradas do registro que são listadas em "Mais informações" seção.

Mais Informações

Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de que você siga estas etapas cuidadosamente. Para proteção adicional, faça backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
322756Como fazer backup e restaurar o registro no Windows
Observação Após concluir o teste de Kerberos ou Solucionando problemas de protocolo, remova quaisquer entradas de registro que você adicionar. Caso contrário, o desempenho do seu computador pode ser afetado.

Entradas do Registro e valores sob a chave Parameters

As entradas do Registro listadas nesta seção devem ser adicionadas para a seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Observação Se a chave Parameters não estiver listada em Kerberos, você deve criar a chave.
  • Entrada: SkewTime
    Tipo: REG_DWORD
    Valor padrão: 5 (minutos)

    Esse valor é a diferença de tempo máximo permitida entre o computador cliente e o servidor aceita Kerberos autenticação. No Windows 2000 verificado versão de compilação, o padrão SkewTime valor é 2 horas.

    Observação Uma versão de compilação verificada do sistema operacional Windows é usada em ambientes de teste e produção. (Compilação verificada é também conhecido como uma versão de depuração.) Compilação verificada tem muitas otimizações de compilador desativadas. Esse tipo de compilação rastreamento ajuda a causa de problemas no software do sistema. Compilação verificada ativa várias verificações de depuração no código do sistema operacional e os drivers do sistema. Essas verificações depuração ajudam compilação verificada identificar inconsistências internas tão logo eles ocorrem. Compilação verificada é maior e mais lenta a execução de uma versão de usuário final do Windows.

    Uma versão de usuário final do Windows é também conhecido como uma versão de compilação livre ou uma versão de compilação de varejo. Em uma versão de compilação livre, informações de depuração é removida e Windows é criado com otimizações de compilador completo. Uma versão de compilação livre é mais rápida e usa menos memória que uma versão de compilação verificada.
  • Entrada: LogLevel
    Tipo: REG_DWORD
    Valor padrão: 0

    Esse valor indica se os eventos são registrados no log de eventos do sistema. Se esse valor é definido como qualquer valor diferente de zero, todos os eventos relacionados a Kerberos são registrados no log de eventos do sistema.
  • Entrada: MaxPacketSize
    Tipo: REG_DWORD
    Valor padrão: 1465 (bytes)

    Esse valor é o máximo User Datagram Protocol (UDP) tamanho do pacote. Se o tamanho do pacote exceder esse valor, o TCP é usado.
  • Entrada: StartupTime
    Tipo: REG_DWORD
    Valor padrão: 120 (segundos)

    Esse valor é o tempo que Windows aguarda para o Centro de distribuição de chaves (KDC) para iniciar antes que o Windows oferece.
  • Entrada: KdcWaitTime
    Tipo: REG_DWORD
    Valor padrão: 10 (segundos)

    Esse valor é o tempo que Windows aguarda uma resposta de um KDC.
  • Entrada: KdcBackoffTime
    Tipo: REG_DWORD
    Valor padrão: 10 (segundos)


    Esse valor é o tempo entre chamadas sucessivas para o KDC se a chamada anterior falhou.
  • Entrada: KdcSendRetries
    Tipo: REG_DWORD
    Valor padrão: 3

    Esse valor é o número de vezes que um cliente irá tentar contatar um KDC.
  • Entrada: DefaultEncryptionType
    Tipo: REG_DWORD
    Valor padrão: 23 (decimal) ou 0x17 (hexadecimal)

    Esse valor indica o tipo de criptografia padrão para pré-autenticação.
  • Entrada: FarKdcTimeout
    Tipo: REG_DWORD
    Valor padrão: 10 (minutos)

    Esse é o valor de tempo limite é usado para invalidar um controlador de domínio de um site diferente no cache de controlador de domínio.
  • Entrada: NearKdcTimeout
    Tipo: REG_DWORD
    Valor padrão: 30 (minutos)

    Esse é o valor de tempo limite é usado para invalidar um controlador de domínio no mesmo site no cache de controlador de domínio.
  • Entrada: StronglyEncryptDatagram
    Tipo: REG_BOOL
    Valor padrão: FALSO

    Este valor contém um sinalizador que indica se deve usar criptografia de 128 bits para pacotes de datagrama.
  • Entrada: MaxReferralCount
    Tipo: REG_DWORD
    Valor padrão: 6

    Esse valor é o número de referências de KDC pursues um cliente antes do cliente proporciona backup.
  • Entrada: KerbDebugLevel
    Tipo: REG_DWORD
    Valor padrão: 0xFFFFFFFF

    Esse valor é uma lista de sinalizadores que indicam o tipo e nível de log que é solicitado. Esse tipo de log pode ser coletado no nível do componente do Kerberos por bit a bit ou por um ou mais macros que são descritas na tabela a seguir.
    Recolher esta tabelaExpandir esta tabela
    Nome de macroValorObservação
    DEB_ERROR0 x 00000001Este é o padrão InfoLevel para compilações verificadas. Isso produz mensagens de erro entre componentes.
    DEB_WARN0 x 00000002Essa macro gera mensagens de aviso entre componentes. Em alguns casos, essas mensagens podem ser ignoradas.
    DEB_TRACE0 x 00000004Esta macro permite que os eventos de rastreamento geral.
    DEB_TRACE_API0 x 00000008Esta macro permite que os eventos de rastreamento de usuário API geralmente são registrados na entrada e em Sair para uma função externamente exportada é implementada através de SSPI.
    DEB_TRACE_CRED0 x 00000010Esta macro permite que credenciais de rastreamento.
    DEB_TRACE_CTXT0 x 00000020Esta macro permite que o rastreamento de contexto.
    DEB_TRACE_LSESS0x00000040Esta macro permite que o rastreamento de sessão de logon.
    DEB_TRACE_TCACHE0x00000080Não implementado
    DEB_TRACE_LOGON0 x 00000100Esta macro permite rastreamento logon, como em LsaApLogonUserEx2().
    DEB_TRACE_KDC0x00000200Esta macro permite rastreamento antes e depois chamadas para KerbMakeKdcCall().
    DEB_TRACE_CTXT20 x 00000400Esta macro permite que o rastreamento de contexto adicionais.
    DEB_TRACE_TIME0x00000800Esta macro permite que o tempo de rastreamento distorção é encontrado em Timesync.cxx.
    DEB_TRACE_USER0x00001000Esta macro permite que o rastreamento de API de usuário que é usado juntamente com DEB_TRACE_API e que é encontrado principalmente em Userapi.cxx.
    DEB_TRACE_LEAKS00002000
    DEB_TRACE_SOCK0x00004000Esta macro permite que os eventos relacionados ao Winsock.
    DEB_TRACE_SPN_CACHE0x00008000Esta macro permite que os eventos relacionados a acertos de cache SPN e erros.
    DEB_S4U_ERROR0 x 00010000Não implementado
    DEB_TRACE_S4U0 x 00020000
    DEB_TRACE_BND_CACHE0 x 00040000
    DEB_TRACE_LOOPBACK0 x 00080000
    DEB_TRACE_TKT_RENEWAL0x00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000Não implementado
  • Entrada: MaxTokenSize
    Tipo: REG_DWORD
    Valor padrão: 12000 (decimal)

    Este é o valor máximo dos Kerberos token. A Microsoft recomenda que você defina este valor como menor do que 65535.
  • Entrada: SpnCacheTimeout
    Tipo: REG_DWORD
    Valor padrão: 15 minutos

    Esse valor é o tempo de vida das entradas de cache de nomes principais de serviço (SPN). Em controladores de domínio, o cache SPN está desabilitado.
  • Entrada: S4UCacheTimeout
    Tipo: REG_DWORD
    Valor padrão: 15 minutos

    Esse valor é o tempo de vida das entradas negativas do cache S4U que são usados para restringir o número de solicitações de proxy S4U de determinado computador.
  • Entrada: S4UTicketLifetime
    Tipo: REG_DWORD
    Valor padrão: 15 minutos

    Esse valor é o tempo de vida de tíquetes que são obtidos por S4U solicitações de proxy.
  • Entrada: RetryPdc
    Tipo: REG_DWORD
    Valor padrão: 0 (FALSO)
    Valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (VERDADEIRO)

    Esse valor indica se o cliente entrará em contato com o controlador de domínio primário para solicitações de serviço de autenticação (AS_REQ) se o cliente recebe um erro de expiração de senha.
  • Entrada: RequestOptions
    Tipo: REG_DWORD
    Valor padrão: Valor de qualquer RFC 1510

    Esse valor indica que se houver opções adicionais que devem ser enviadas como opções do KDC no solicitações (TGS_REQ) de serviço de concessão de tíquete.
  • Entrada: ClientIpAddress
    Tipo: REG_DWORD
    Padrão valor: 0 (essa configuração é 0 devido a problemas de conversão de endereço de rede e Dynamic Host Configuration Protocol).
    Valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (VERDADEIRO)

    Esse valor indica se um endereço IP do cliente será adicionado em AS_REQ forçar campo Caddr para conter endereços IP em todos os tíquetes.
  • Entrada: TgtRenewalTime
    Tipo: REG_DWORD
    Valor padrão: 600 segundos

    Esse valor é o tempo que o Kerberos aguardará antes de ele tenta renovar um tíquete (TGT concessão) antes de expira o tíquete.
  • Entrada: AllowTgtSessionKey
    Tipo: REG_DWORD
    Valor padrão: 0
    Valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (VERDADEIRO)

    Esse valor indica se as chaves de sessão são exportadas com inicial ou entre território TGT autenticação. O valor padrão é false por motivos de segurança.

Entradas do Registro e valores de chave KDC

As entradas do Registro listadas nesta seção devem ser adicionadas para a seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Observação Se a chave KDC não está listada em serviços, você deve criar a chave.
  • Entrada: KdcUseClientAddresses
    Tipo: REG_DWORD
    Valor padrão: 0
    Valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (VERDADEIRO)

    Esse valor indica se endereços IP serão adicionados em concessão Service Reply (TGS_REP).
  • Entrada: KdcDontCheckAddresses
    Tipo: REG_DWORD
    Valor padrão: 1
    Valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (VERDADEIRO)

    Esse valor indica se os endereços IP para o TGS_REQ e campo TGT Caddr serão verificados.
  • Entrada: NewConnectionTimeout
    Tipo: REG_DWORD
    Valor padrão: 10 (segundos)

    Esse valor é o tempo que uma conexão de ponto de extremidade TCP inicial será mantida aberta para receber dados antes de ele desconecta.
  • Entrada: MaxDatagramReplySize
    Tipo: REG_DWORD
    Valor padrão: 1465 (decimais, bytes)

    Esse valor é o tamanho máximo do pacote UDP em mensagens TGS_REP e respostas de serviço de autenticação (AS_REP). Se o tamanho do pacote exceder esse valor, o KDC retorna uma mensagem de KRB_ERR_RESPONSE_TOO_BIG solicita que o cliente alterne para TCP.

    Observação Aumentar MaxDatagramReplySize pode aumentar a probabilidade de pacotes Kerberos UDP sendo fragmentado.

    Para obter mais informações sobre esse problema, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
    244474Como forçar o Kerberos para usar TCP em vez de UDP no Windows
  • Entrada: KdcExtraLogLevel
    Tipo: REG_DWORD
    Valor padrão: 2
    Valores possíveis:
    • 1 (decimal) ou 0 x 1 (hexadecimal): auditoria SPN erros desconhecidos.
    • 2 (decimal) ou 0 x 2 (hexadecimal): erros de log PKINIT. (PKINIT é um rascunho da Internet Engineering Task Force (IETF) Internet para "Criptografia de chave pública para autenticação inicial em Kerberos.")
    • 4 (decimal) ou 0 x 4 (hexadecimal): fazer KDC todos os erros.
    • 8 (decimal) ou 0 x 8 (hexadecimal): evento de aviso de log KDC 25 no log do sistema quando perguntando S4U2Self tíquete de usuário não tem acesso suficiente para usuário de destino.
    • 16 (decimal) ou 0 x 10 (hexadecimal): log eventos de auditoria no tipo de criptografia (ETYPE) e erros de opções inválida.
    Esse valor indica quais informações o KDC gravará logs de eventos e para auditorias.
  • Entrada: KdcDebugLevel
    Tipo: REG_DWORD
    Valor padrão: 1 para compilação verificada, 0 para compilação livre

    Esse valor indica se o log de depuração é em (1) ou desativado (0).

    Se o valor é definido para 0x10000000 (hexadecimal) ou 268435456 (decimal), o informações específicas do arquivo ou a linha serão retornadas no campo edata de KERB_ERRORS como PKERB_EXT_ERROR erros durante uma falha de processamento do KDC.

Propriedades

ID do artigo: 837361 - Última revisão: sexta-feira, 11 de abril de 2008 - Revisão: 5.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Palavras-chave: 
kbmt kbwinservnetwork kbsecurityservices kbregistry kbinfo KB837361 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 837361

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com