Kerberos — это механизм проверки подлинности, который используется для
Проверка подлинности пользователя или узла. Kerberos — это способ проверки подлинности
для служб Windows Server 2003.
Если используется Windows Server
2003, можно изменить параметры Kerberos для облегчения устранения Kerberos
проблемы проверки подлинности или проверки протокола Kerberos. Чтобы сделать это, добавьте или
изменения записей реестра, указанных в «дополнительная информация»
раздел.
Важные Этот раздел, метод или задача содержит шаги, которые показывают, как для
изменения в реестр. Тем не менее, могут возникнуть серьезные проблемы при изменении
реестр неправильно. Поэтому убедитесь, что вы выполните следующие действия
внимательно. Для дополнительной защиты резервную копию реестра перед внесением изменений.
Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений
о том, как резервное копирование и восстановление реестра, щелкните следующую статью
номер статьи базы знаний Майкрософт:
Резервное копирование и восстановление реестра Windows
Примечание После завершения устранения неполадок или тестирования Kerberos
протокол, удалите все записи реестра, которые необходимо добавить. В противном случае — производительность
может повлиять на ваш компьютер.
Разделы реестра и значения в разделе Параметры
Записи реестра, перечисленные в этом разделе, необходимо добавить
в следующем подразделе реестра:
Примечание Если ключ параметров не указан в списке Kerberos, необходимо
Создайте ключ.
Операция: SkewTime Тип: REG_DWORD Значение по умолчанию: 5
(мин.)
Это значение определяет максимальное расхождение разрешенный
между клиентским компьютером и сервером, который принимает Kerberos
Проверка подлинности. В Windows 2000 проверка версии построения, SkewTime по умолчанию
значение равно 2 часа.
Примечание Проверенная версия операционной системы Windows используется
в производственных средах и тестирования. (Проверенная также называется
отладочной версии.) Проверенная сборка имеет много оптимизацию компилятора выключен.
Этот вид построения trace помогает причину неполадок в программном обеспечении системы. A
Проверка сборки включает различные проверки отладки кода операционной системы и
в системных драйверов. Эти проверки отладки помогают идентифицировать проверенная сборка
Внутренняя несогласованность по мере их возникновения. Проверенная большего размера и
выполняется медленнее, для выполнения, чем конечных пользователей версии Windows.
Конечный пользователь
версии Windows также называется бесплатную версию или построения розничной торговли
версия. В бесплатную версию, отладочная информация удаляется и Windows
строится полную оптимизацию. Бесплатную версию быстрее и
использует меньше памяти, чем версия проверенная сборка.
Операция: LogLevel Тип: REG_DWORD Значение по умолчанию: 0
Это значение указывает, будет ли в системных событий регистрируются события
журнал. Если это значение задано любое ненулевое значение, все события, связанные с Kerberos
в журнале системных событий регистрируются.
Операция: MaxPacketSize Тип: REG_DWORD По умолчанию
Значение: 1465 (в байтах)
Это значение является максимальной протокол датаграмм пользователя
Размер пакета (UDP). Если размер пакета превышает это значение, будет использоваться протокол TCP.
Операция: StartupTime Тип: REG_DWORD Значение по умолчанию:
120 (сек)
Это значение представляет собой значение времени ожидания Windows для ключа
Центр распространения (KDC) для запуска перед Windows дает.
Операция: KdcWaitTime Тип: REG_DWORD Значение по умолчанию:
10 (в секундах)
Это значение — время ожидания ответа от Windows
KDC.
Операция: KdcBackoffTime Тип: REG_DWORD По умолчанию
Значение: 10 (в секундах)
Это значение равно времени между последовательными
вызовы KDC, если сбой предыдущего вызова.
Операция: KdcSendRetries Тип: REG_DWORD По умолчанию
Значение: 3
Это значение — количество раз, которые клиент будет пытаться
обратитесь в службу центра распространения КЛЮЧЕЙ.
Операция: DefaultEncryptionType Тип: REG_DWORD Значение по умолчанию: 23 (десятичное) или 0x17 (шестнадцатеричный)
Это значение
Указывает тип шифрования по умолчанию для предварительной проверки подлинности.
Операция: FarKdcTimeout Тип: REG_DWORD По умолчанию
Значение: 10 (в минутах)
Это значение времени ожидания, который используется для
сделать недействительными контроллеру домена с контроллера домена на другой узел
кэш-памяти.
Операция: NearKdcTimeout Тип: REG_DWORD По умолчанию
Значение: 30 (в минутах)
Это значение времени ожидания, который используется для
сделать недействительными контроллера домена в одном сайте контроллера домена
кэш-памяти.
Операция: StronglyEncryptDatagram Тип: REG_BOOL Значение по умолчанию: FALSE
Это значение содержит флаг, указывающий
следует ли использовать 128-разрядное шифрование для пакетов датаграмм.
Операция: MaxReferralCount Тип: REG_DWORD По умолчанию
Значение: 6
Это значение представляет собой число ссылок KDC, клиент
придерживается стратегии, прежде чем клиент дает.
Операция: KerbDebugLevel Тип: REG_DWORD По умолчанию
Значение: 0xFFFFFFFF
Это значение представляет собой список флаги, указывающие тип и запрошенный уровень протоколирования. Этот тип ведения журнала могут быть собраны на уровне компонентов Kerberos побитового или один или несколько макросов, которые описаны в следующей таблице. Обратите внимание на некоторые из ниже вывода требуется отмеченных версия kerberos.dll (например DEB_TRACE_SPN_CACHE). Если необходим этот уровень Устранение неполадок обратитесь в службу поддержки корпорации Майкрософт для получения помощи.
Свернуть эту таблицуРазвернуть эту таблицу
Имя макроса
Значение
Примечание
DEB_ERROR
0x00000001
Это значение по умолчанию
InfoLevel для Проверка сборки. В результате получается сообщения об ошибках во всех компонентах.
DEB_WARN
0x00000002
Этот макрос создает
предупреждающие сообщения во всех компонентах. В некоторых случаях эти сообщения могут быть
игнорируется.
DEB_TRACE
0x00000004
Этот макрос позволяет
Общие трассировки событий.
DEB_TRACE_API
0x00000008
Этот макрос
позволяет пользователю интерфейс API трассировки событий обычно при входе и выходе для
внешне экспортируемой функции, которая реализуется с помощью SSPI.
DEB_TRACE_CRED
0x00000010
Этот макрос
включает учетные данные трассировки.
DEB_TRACE_CTXT
0x00000020
Этот макрос
Включает отслеживание контекста.
DEB_TRACE_LSESS
0x00000040
Этот макрос
Включение трассировки сеанса входа в систему.
DEB_TRACE_TCACHE
0x00000080
Не
реализации
DEB_TRACE_LOGON
0x00000100
Этот макрос
Включает отслеживание входа в систему, такие как в LsaApLogonUserEx2().
DEB_TRACE_KDC
0x00000200
Этот макрос
включает трассировку до и после вызова KerbMakeKdcCall().
DEB_TRACE_CTXT2
0x00000400
Этот макрос
Включает отслеживание дополнительного контекста.
DEB_TRACE_TIME
0x00000800
Этот макрос
включает время, наклон трассировку, которая находится в Timesync.cxx.
DEB_TRACE_USER
0x00001000
Этот макрос
Включение трассировки API-Интерфейс пользователя, используемый вместе с DEB_TRACE_API, и это
найдено в основном в Userapi.cxx.
DEB_TRACE_LEAKS
0x00002000
DEB_TRACE_SOCK
0x00004000
Этот макрос
включает события, связанные с Winsock.
DEB_TRACE_SPN_CACHE
0x00008000
Этот макрос
включает события, относящиеся к SPN попаданий в кэш и промахов.
DEB_S4U_ERROR
0x00010000
Не
реализации
DEB_TRACE_S4U
0x00020000
DEB_TRACE_BND_CACHE
0x00040000
DEB_TRACE_LOOPBACK
0x00080000
DEB_TRACE_TKT_RENEWAL
0x00100000
DEB_TRACE_U2U
0x00200000
DEB_TRACE_LOCKS
0x01000000
DEB_USE_LOG_FILE
0x02000000
Не
реализации
Операция: MaxTokenSize Тип: REG_DWORD Значение по умолчанию:
12000 (Дес.)
Это значение является максимальным значением Kerberos
маркер. Корпорация Майкрософт рекомендует установить это значение меньше, чем 65535.
Операция: SpnCacheTimeout Тип: REG_DWORD По умолчанию
Значение: 15 минут
Это значение используется системой после очистки записей в кэше имен участников службы (SPN). На контроллерах домена отключено кэширование на имя участника-службы. Клиентов и серверов, используйте это значение для возраст и уничтожение записей отрицательных (имя участника-службы не найден). Примечание: записи кэша допустимое имя участника-службы (кэш отрицательных i.e.not) не удаляются после создания 15 минут. Тем не менее, SPNCacheTimeouvalue также используется для уменьшения кэш SPN для управляемый размер - достижении 350 операций, система будет использовать это значение для очистки кэша SPN / очистки старых или неиспользуемых записей.
Операция: S4UCacheTimeout Тип: REG_DWORD По умолчанию
Значение: 15 минут
Это значение является существования отрицательный S4U
кэширование записи, которые используются для ограничения числа запросов прокси S4U от
конкретный компьютер.
Операция: S4UTicketLifetime Тип: REG_DWORD По умолчанию
Значение: 15 минут
Это значение определяет время жизни билетов
полученных запросов прокси S4U.
Операция: RetryPdc Тип: REG_DWORD Значение по умолчанию: 0
(ЛОЖЬ) Возможные значения: 0 (ЛОЖЬ) или любое ненулевое значение (ИСТИНА)
Это значение указывает, будет ли клиент обратится к основной
контроллер домена для проверки подлинности запросов службы (AS_REQ) Если клиент
Получает ошибка истечения срока действия пароля.
Операция: RequestOptions Тип: REG_DWORD По умолчанию
Значение: Любое значение RFC 1510
Это значение указывает на наличие
Дополнительные параметры, которые должны быть отправлены KDC в качестве параметров службы предоставления билетов
запросы (TGS_REQ).
Операция: ClientIpAddress Тип: REG_DWORD По умолчанию
Значение: 0 (этот параметр равен 0 из-за протокол и
сетевой адрес перевод проблемы.) Возможные значения: 0 (ЛОЖЬ) или какой-либо
ненулевое значение (ИСТИНА)
Это значение указывает ли IP-адрес клиента
будет добавлен в AS_REQ для принудительного Caddr поле, содержащее IP-адреса во всех
билеты.
Операция: TgtRenewalTime Тип: REG_DWORD По умолчанию
Значение: 600 секунд
Это значение представляет собой значение времени ожидания Kerberos
он пытается обновить билет предоставления билета (TGT) перед билета
срок действия.
Операция: AllowTgtSessionKey Тип: REG_DWORD По умолчанию
Значение: 0 Возможные значения: 0 (ЛОЖЬ) или любое ненулевое значение (ИСТИНА)
Это значение указывает, экспортируются ли ключи сеанса с начальной
или с перекрестная проверка подлинности TGT сферы. По умолчанию используется значение false, для обеспечения безопасности
по причинам.
Разделы реестра и значения в разделе Kdc
Записи реестра, перечисленные в этом разделе, необходимо добавить
в следующем подразделе реестра:
Примечание Если ключ Kdc не указан в списке служб, необходимо создать
ключ.
Операция: KdcUseClientAddresses Тип: REG_DWORD Значение по умолчанию: 0 Возможные значения: 0 (ЛОЖЬ) или любое ненулевое значение
(ИСТИНА)
Это значение указывает, будет ли IP-адреса будут добавлены в
Билеты ответ службы (TGS_REP).
Операция: KdcDontCheckAddresses Тип: REG_DWORD Значение по умолчанию: 1 Возможные значения: 0 (ЛОЖЬ) или любое ненулевое значение
(ИСТИНА)
Это значение указывает, будет ли IP-адреса для TGS_REQ и
поле TGT Caddr будет проверяться.
Операция: NewConnectionTimeout Тип: REG_DWORD Значение по умолчанию: 10 (в секундах)
Это значение — это время,
начальное подключение конечной точки TCP остается открытой для получения данных перед ее
отключение.
Операция: MaxDatagramReplySize Тип: REG_DWORD Значение по умолчанию: 1465 (десятичное, байт)
Это значение является максимальным значением
Размер пакета UDP в TGS_REP и ответы службы проверки подлинности (AS_REP)
сообщения. Если размер пакета превышает это значение, возвращает KDC
KRB_ERR_RESPONSE_TOO_BIG сообщения, запрашивающего клиента переключитесь TCP.
Примечание Увеличение MaxDatagramReplySize может привести к увеличению
вероятность того фрагментированных пакетов Kerberos UDP.
Для получения дополнительных сведений об этой проблеме
щелкните следующий номер статьи базы Microsoft
База знаний:
Принудительный Kerberos использует протокол TCP вместо UDP в Windows
Операция: KdcExtraLogLevel Тип: REG_DWORD По умолчанию
Значение: 2 Возможные значения:
(десятичное) 1 или 0x1 (шестнадцатеричный): неизвестное имя SPN аудита
ошибки.
2 (десятичное) или 0x2 (шестнадцатеричный): PKINIT журнала ошибок.
(PKINIT – это проект Интернет IETF (Internet Engineering Task Force) для "Public
Ключ шифрования для первоначальной проверки подлинности в Kerberos.»)
4 (десятичное) или 0x4 (шестнадцатеричный): журнал всех KDC
ошибки.
8 (десятичное) или 0x8 (шестнадцатеричный): KDC журнал предупреждающее событие 25 в системный журнал, когда пользователь, запрашивающий билет S4U2Self не имеет необходимых прав доступа для конечного пользователя.
16 (десятичное) или 0x10 (шестнадцатеричный): журнал аудита событий тип шифрования (ETYPE) и неверные параметры ошибок.
Это значение указывает, какая информация будет записать KDC
журналы событий и аудит.
Операция: KdcDebugLevel Тип: REG_DWORD По умолчанию
Значение: 1 для проверенная 0 бесплатно построения
Это значение указывает
является ли журнал отладки (1) или off (0).
Если имеет значение
0x10000000 (шестнадцатеричный) или 268435456 (в десятичной системе), определенного файла или строки
будут возвращены сведения в поле edata KERB_ERRORS как
PKERB_EXT_ERROR ошибки во время сбоя обработки KDC.
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Спасибо! Благодаря вашему отзыву мы сможем сделать справочные материалы еще лучше. Чтобы воспользоваться дополнительными возможностями поддержки, посетите домашнюю страницу центра справки и поддержки.
Перейти к началу страницы
