Записи реестра протокола Kerberos и ключи конфигурации KDC в Windows
В этой статье описаны записи реестра о протоколе проверки подлинности Kerberos версии 5 и конфигурации центра распространения ключей (KDC).
Область применения: Windows 11, Windows 10, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Исходный номер базы знаний: 837361
Сводка
Kerberos — это механизм проверки подлинности, используемый для проверки удостоверения пользователя или узла. Kerberos — это предпочтительный метод проверки подлинности для служб в Windows.
Если вы используете Windows, вы можете изменить параметры Kerberos, чтобы устранить проблемы с проверкой подлинности Kerberos или протестировать протокол Kerberos. Для этого добавьте или измените записи реестра, перечисленные в следующих разделах.
Важно!
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.
Примечание.
После завершения устранения неполадок или тестирования протокола Kerberos удалите все добавленные записи реестра. В противном случае производительность компьютера может быть затронута.
Записи и значения реестра в разделе Parameters
Записи реестра, перечисленные в этом разделе, должны быть добавлены в следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Примечание.
Если ключ Parameters отсутствует в списке Kerberos, необходимо создать ключ.
Запись: SkewTime
Тип: REG_DWORD
Значение по умолчанию: 5 (мин)
Это значение является максимально допустимой разницей во времени между клиентским компьютером и сервером, принимаюющим проверку подлинности Kerberos или KDC.
Примечание.
Значение SkewTime учитывается при определении допустимости билета Kerberos для повторного использования. Срок действия билета считается просроченным, если срок действия меньше текущего времени + SkewTime. Например, если для параметра SkewTime задано значение 20 минут, а текущее время — 08:00, то срок действия билета до 08:20 будет считаться истекшим.
Запись: LogLevel
Тип: REG_DWORD
Значение по умолчанию: 0
Это значение указывает, регистрируются ли события в системном журнале событий. Если для этого значения задано любое ненулевое значение, все события, связанные с Kerberos, регистрируются в журнале системных событий.
Примечание.
Регистрированные события могут содержать ложные срабатывания, в которых клиент Kerberos повторяет попытку с различными флагами запроса, которые затем успешно выполняются. Поэтому не предполагайте, что у вас возникла проблема с Kerberos, когда вы видите событие, зарегистрированное на основе этого параметра. Дополнительные сведения см. в разделе Включение ведения журнала событий Kerberos .
Запись: MaxPacketSize
Тип: REG_DWORD
Значение по умолчанию: 1465 (байт)
Это значение является максимальным размером пакета UDP. Если размер пакета превышает это значение, используется ПРОТОКОЛ TCP.
По умолчанию для этого значения в Windows Vista и более поздних версиях Windows используется значение 0, поэтому UDP никогда не используется клиентом Windows Kerberos.
Запись: StartupTime
Тип: REG_DWORD
Значение по умолчанию: 120 (секунды)
Это значение — время ожидания Windows до запуска KDC, прежде чем Windows сдается.
Запись: KdcWaitTime
Тип: REG_DWORD
Значение по умолчанию: 10 (секунды)
Это значение — время ожидания Windows ответа от KDC.
Запись: KdcBackoffTime
Тип: REG_DWORD
Значение по умолчанию: 10 (секунды)
Это значение — время между последовательными вызовами KDC, если предыдущий вызов завершился ошибкой.
Запись: KdcSendRetries
Тип: REG_DWORD
Значение по умолчанию: 3
Это значение — количество попыток клиента связаться с KDC.
Запись: DefaultEncryptionType
Тип: REG_DWORD
Это значение указывает тип шифрования по умолчанию для предварительной проверки подлинности. Значение по умолчанию для RC4 — 23 (десятичное) или 0x17 (шестнадцатеричное)
Если вы хотите использовать AES, присвойте ей одно из следующих значений:
- aes256-cts-hmac-sha1-96: 18 или 0x12
- aes128-cts-hmac-sha1-96: 17 или 0x11
Это значение указывает тип шифрования по умолчанию для предварительной проверки подлинности.
Запись: FarKdcTimeout
Тип: REG_DWORD
Значение по умолчанию: 10 (минут)
Это значение времени ожидания, которое используется для отмены контроллера домена с другого сайта в кэше контроллера домена.
Запись: NearKdcTimeout
Тип: REG_DWORD
Значение по умолчанию: 30 (мин)
Это значение времени ожидания, которое используется для отмены контроллера домена на том же сайте в кэше контроллера домена.
Запись: StronglyEncryptDatagram
Тип: REG_BOOL
Значение по умолчанию: FALSE
Это значение содержит флаг, указывающий, следует ли использовать 128-разрядное шифрование для пакетов датаграмм.
Запись: MaxReferralCount
Тип: REG_DWORD
Значение по умолчанию: 6
Это значение — количество рефералов KDC, которые клиент проводит до того, как клиент сдает его.
Запись: MaxTokenSize
Тип: REG_DWORD
Значение по умолчанию: 12000 (decimal). Начиная с Windows Server 2012 и Windows 8 значение по умолчанию — 48000.
Это значение является максимальным значением маркера Kerberos. Корпорация Майкрософт рекомендует установить это значение меньше 65535. Дополнительные сведения см. в статье Проблемы с проверкой подлинности Kerberos, когда пользователь принадлежит к нескольким группам.
Запись: SpnCacheTimeout
Тип: REG_DWORD
Значение по умолчанию: 15 минут
Это значение используется системой при очистке записей кэша имен субъектов-служб (SPN). На контроллерах домена кэш имени субъекта-службы отключен. Клиенты и рядовые серверы используют это значение для старения и очистки отрицательных записей кэша (имя субъекта-службы не найдено). Допустимые записи кэша имени субъекта-службы (например, не отрицательный кэш) не удаляются через 15 минут после создания. Однако значение SPNCacheTimeout также используется для уменьшения кэша имени субъекта-службы до управляемого размера. Когда кэш имени субъекта-службы достигает 350 записей, система будет использовать это значение для
scavenge / cleanup
старых и неиспользуемых записей.
Запись: S4UCacheTimeout
Тип: REG_DWORD
Значение по умолчанию: 15 минут
Это значение представляет собой время существования записей отрицательного кэша S4U, которые используются для ограничения количества запросов прокси-сервера S4U с определенного компьютера.
Запись: S4UTicketLifetime
Тип: REG_DWORD
Значение по умолчанию: 15 минут
Это значение является временем существования билетов, полученных запросами прокси-сервера S4U.
Запись: RetryPdc
Тип: REG_DWORD
Значение по умолчанию: 0 (false)
Возможные значения: 0 (false) или любое ненулевое значение (true)
Это значение указывает, будет ли клиент обращаться к основному контроллеру домена для запросов службы проверки подлинности (AS_REQ), если клиент получает ошибку истечения срока действия пароля.
Запись: RequestOptions
Тип: REG_DWORD
Значение по умолчанию: любое значение RFC 1510
Это значение указывает, есть ли больше параметров, которые должны быть отправлены в качестве параметров KDC в запросах на предоставление билетов (TGS_REQ).
Запись: ClientIpAddresses
Тип: REG_DWORD
Значение по умолчанию: 0 (этот параметр равен 0 из-за проблем с протоколом динамической конфигурации узла и преобразованием сетевых адресов.)
Возможные значения: 0 (false) или любое ненулевое значение (true)
Это значение указывает, будет ли добавлен IP-адрес клиента в AS_REQ, чтобы поле
Caddr
содержало IP-адреса во всех билетах.
Запись: TgtRenewalTime
Тип: REG_DWORD
Значение по умолчанию: 600 секунд
Это значение — время ожидания Kerberos перед попыткой продлить билет на предоставление билета (TGT) до истечения срока действия билета.
Запись: AllowTgtSessionKey
Тип: REG_DWORD
Значение по умолчанию: 0
Возможные значения: 0 (false) или любое ненулевое значение (true)
Это значение указывает, экспортируются ли ключи сеанса с начальной проверкой подлинности или с проверкой подлинности TGT между областями. Значение по умолчанию — false в целях безопасности.
Примечание.
Если в Windows 10 и более поздних версиях Windows активен Credential Guard, вы больше не сможете включить общий доступ к ключам сеанса TGT с приложениями.
Записи и значения реестра в разделе Kdc
Записи реестра, перечисленные в этом разделе, должны быть добавлены в следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Примечание.
Если ключ Kdc отсутствует в списке Службы, необходимо создать ключ.
Запись: KdcUseClientAddresses
Тип: REG_DWORD
Значение по умолчанию: 0
Возможные значения: 0 (false) или любое ненулевое значение (true)
Это значение указывает, будут ли IP-адреса добавлены в ответ службы Ticket-Granting (TGS_REP).
Запись: KdcDontCheckAddresses
Тип: REG_DWORD
Значение по умолчанию: 1
Возможные значения: 0 (false) или любое ненулевое значение (true)
Это значение указывает, будут ли проверяться IP-адреса для TGS_REQ и поля TGT
Caddr
.
Запись: NewConnectionTimeout
Тип: REG_DWORD
Значение по умолчанию: 10 (секунды)
Это значение — время, когда начальное подключение к конечной точке TCP будет оставаться открытым для получения данных до отключения.
Запись: MaxDatagramReplySize
Тип: REG_DWORD
Значение по умолчанию: 1465 (десятичное, байтовое)
Это значение — максимальный размер пакета UDP в сообщениях TGS_REP и ответов службы проверки подлинности (AS_REP). Если размер пакета превышает это значение, KDC возвращает сообщение "KRB_ERR_RESPONSE_TOO_BIG", которое запрашивает переключение клиента на TCP.
Примечание.
Увеличение maxDatagramReplySize может повысить вероятность фрагментации пакетов UDP Kerberos.
Дополнительные сведения об этой проблеме см . в статье Как заставить Kerberos использовать TCP вместо UDP в Windows.
Запись: KdcExtraLogLevel
Тип: REG_DWORD
Значение по умолчанию: 2
Возможные значения:
- 1 (десятичный) или 0x1 (шестнадцатеричный): аудит неизвестных ошибок имени субъекта-службы в журнале событий безопасности. Событие с идентификатором 4769 регистрируется с ошибкой аудита.
- 2 (десятичное число) или 0x2 (шестнадцатеричное): регистрируются ошибки PKINIT. При этом в журнал системных событий записывается событие предупреждения KDC с идентификатором 21 (включено по умолчанию). PKINIT — это интернет-проект для шифрования открытого ключа для первоначальной проверки подлинности в Kerberos.
- 4 (десятичное) или 0x4 (шестнадцатеричное): регистрируются все ошибки KDC. Это регистрирует событие KDC с идентификатором 24 (пример проблем, необходимых для U2U) в журнал системных событий.
- 8 (десятичное) или 0x8 (шестнадцатеричное): заносим в системный журнал событие предупреждения KDC с идентификатором 25, если пользователь, запрашивающий билет S4U2Self, не имеет достаточного доступа к целевому пользователю.
- 16 (десятичный) или 0x10 (шестнадцатеричный): регистрируются события аудита типа шифрования (ETYPE) и ошибки неверных параметров. Это значение указывает, какие сведения KDC будет записывать в журналы событий и в аудиты в журнале событий безопасности. Событие с идентификатором 4769 регистрируется с ошибкой аудита.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по