Записи реестра для протокола Kerberos и конфигурационных ключей KDC в Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 837361 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Эта статья содержит сведения о записи реестра, относящиеся к протокол Kerberos версии 5 в Microsoft Windows Server 2003.

ВВЕДЕНИЕ

Kerberos — это механизм проверки подлинности, который используется для Проверка подлинности пользователя или узла. Kerberos — это способ проверки подлинности для служб Windows Server 2003.

Если используется Windows Server 2003, можно изменить параметры Kerberos для облегчения устранения Kerberos проблемы проверки подлинности или проверки протокола Kerberos. Чтобы сделать это, добавьте или изменения записей реестра, указанных в «дополнительная информация» раздел.

Дополнительная информация

Важные Этот раздел, метод или задача содержит шаги, которые показывают, как для изменения в реестр. Тем не менее, могут возникнуть серьезные проблемы при изменении реестр неправильно. Поэтому убедитесь, что вы выполните следующие действия внимательно. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра, щелкните следующую статью номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows
Примечание После завершения устранения неполадок или тестирования Kerberos протокол, удалите все записи реестра, которые необходимо добавить. В противном случае — производительность может повлиять на ваш компьютер.

Разделы реестра и значения в разделе Параметры

Записи реестра, перечисленные в этом разделе, необходимо добавить в следующем подразделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Примечание Если ключ параметров не указан в списке Kerberos, необходимо Создайте ключ.
  • Операция: SkewTime
    Тип: REG_DWORD
    Значение по умолчанию: 5 (мин.)

    Это значение определяет максимальное расхождение разрешенный между клиентским компьютером и сервером, который принимает Kerberos Проверка подлинности. В Windows 2000 проверка версии построения, SkewTime по умолчанию значение равно 2 часа.

    Примечание Проверенная версия операционной системы Windows используется в производственных средах и тестирования. (Проверенная также называется отладочной версии.) Проверенная сборка имеет много оптимизацию компилятора выключен. Этот вид построения trace помогает причину неполадок в программном обеспечении системы. A Проверка сборки включает различные проверки отладки кода операционной системы и в системных драйверов. Эти проверки отладки помогают идентифицировать проверенная сборка Внутренняя несогласованность по мере их возникновения. Проверенная большего размера и выполняется медленнее, для выполнения, чем конечных пользователей версии Windows.

    Конечный пользователь версии Windows также называется бесплатную версию или построения розничной торговли версия. В бесплатную версию, отладочная информация удаляется и Windows строится полную оптимизацию. Бесплатную версию быстрее и использует меньше памяти, чем версия проверенная сборка.
  • Операция: LogLevel
    Тип: REG_DWORD
    Значение по умолчанию: 0

    Это значение указывает, будет ли в системных событий регистрируются события журнал. Если это значение задано любое ненулевое значение, все события, связанные с Kerberos в журнале системных событий регистрируются.
  • Операция: MaxPacketSize
    Тип: REG_DWORD
    По умолчанию Значение: 1465 (в байтах)

    Это значение является максимальной протокол датаграмм пользователя Размер пакета (UDP). Если размер пакета превышает это значение, будет использоваться протокол TCP.
  • Операция: StartupTime
    Тип: REG_DWORD
    Значение по умолчанию: 120 (сек)

    Это значение представляет собой значение времени ожидания Windows для ключа Центр распространения (KDC) для запуска перед Windows дает.
  • Операция: KdcWaitTime
    Тип: REG_DWORD
    Значение по умолчанию: 10 (в секундах)

    Это значение — время ожидания ответа от Windows KDC.
  • Операция: KdcBackoffTime
    Тип: REG_DWORD
    По умолчанию Значение: 10 (в секундах)


    Это значение равно времени между последовательными вызовы KDC, если сбой предыдущего вызова.
  • Операция: KdcSendRetries
    Тип: REG_DWORD
    По умолчанию Значение: 3

    Это значение — количество раз, которые клиент будет пытаться обратитесь в службу центра распространения КЛЮЧЕЙ.
  • Операция: DefaultEncryptionType
    Тип: REG_DWORD
    Значение по умолчанию: 23 (десятичное) или 0x17 (шестнадцатеричный)

    Это значение Указывает тип шифрования по умолчанию для предварительной проверки подлинности.
  • Операция: FarKdcTimeout
    Тип: REG_DWORD
    По умолчанию Значение: 10 (в минутах)

    Это значение времени ожидания, который используется для сделать недействительными контроллеру домена с контроллера домена на другой узел кэш-памяти.
  • Операция: NearKdcTimeout
    Тип: REG_DWORD
    По умолчанию Значение: 30 (в минутах)

    Это значение времени ожидания, который используется для сделать недействительными контроллера домена в одном сайте контроллера домена кэш-памяти.
  • Операция: StronglyEncryptDatagram
    Тип: REG_BOOL
    Значение по умолчанию: FALSE

    Это значение содержит флаг, указывающий следует ли использовать 128-разрядное шифрование для пакетов датаграмм.
  • Операция: MaxReferralCount
    Тип: REG_DWORD
    По умолчанию Значение: 6

    Это значение представляет собой число ссылок KDC, клиент придерживается стратегии, прежде чем клиент дает.
  • Операция: KerbDebugLevel
    Тип: REG_DWORD
    По умолчанию Значение: 0xFFFFFFFF

    Это значение представляет собой список флаги, указывающие тип и запрошенный уровень протоколирования. Этот тип ведения журнала могут быть собраны на уровне компонентов Kerberos побитового или один или несколько макросов, которые описаны в следующей таблице. Обратите внимание на некоторые из ниже вывода требуется отмеченных версия kerberos.dll (например DEB_TRACE_SPN_CACHE). Если необходим этот уровень Устранение неполадок обратитесь в службу поддержки корпорации Майкрософт для получения помощи.
    Свернуть эту таблицуРазвернуть эту таблицу
    Имя макросаЗначениеПримечание
    DEB_ERROR0x00000001Это значение по умолчанию InfoLevel для Проверка сборки. В результате получается сообщения об ошибках во всех компонентах.
    DEB_WARN0x00000002Этот макрос создает предупреждающие сообщения во всех компонентах. В некоторых случаях эти сообщения могут быть игнорируется.
    DEB_TRACE0x00000004Этот макрос позволяет Общие трассировки событий.
    DEB_TRACE_API0x00000008Этот макрос позволяет пользователю интерфейс API трассировки событий обычно при входе и выходе для внешне экспортируемой функции, которая реализуется с помощью SSPI.
    DEB_TRACE_CRED0x00000010Этот макрос включает учетные данные трассировки.
    DEB_TRACE_CTXT0x00000020Этот макрос Включает отслеживание контекста.
    DEB_TRACE_LSESS0x00000040Этот макрос Включение трассировки сеанса входа в систему.
    DEB_TRACE_TCACHE0x00000080Не реализации
    DEB_TRACE_LOGON0x00000100Этот макрос Включает отслеживание входа в систему, такие как в LsaApLogonUserEx2().
    DEB_TRACE_KDC0x00000200Этот макрос включает трассировку до и после вызова KerbMakeKdcCall().
    DEB_TRACE_CTXT20x00000400Этот макрос Включает отслеживание дополнительного контекста.
    DEB_TRACE_TIME0x00000800Этот макрос включает время, наклон трассировку, которая находится в Timesync.cxx.
    DEB_TRACE_USER0x00001000Этот макрос Включение трассировки API-Интерфейс пользователя, используемый вместе с DEB_TRACE_API, и это найдено в основном в Userapi.cxx.
    DEB_TRACE_LEAKS0x00002000
    DEB_TRACE_SOCK0x00004000Этот макрос включает события, связанные с Winsock.
    DEB_TRACE_SPN_CACHE0x00008000Этот макрос включает события, относящиеся к SPN попаданий в кэш и промахов.
    DEB_S4U_ERROR0x00010000Не реализации
    DEB_TRACE_S4U0x00020000
    DEB_TRACE_BND_CACHE0x00040000
    DEB_TRACE_LOOPBACK0x00080000
    DEB_TRACE_TKT_RENEWAL0x00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000Не реализации
  • Операция: MaxTokenSize
    Тип: REG_DWORD
    Значение по умолчанию: 12000 (Дес.)

    Это значение является максимальным значением Kerberos маркер. Корпорация Майкрософт рекомендует установить это значение меньше, чем 65535.
  • Операция: SpnCacheTimeout
    Тип: REG_DWORD
    По умолчанию Значение: 15 минут

    Это значение используется системой после очистки записей в кэше имен участников службы (SPN). На контроллерах домена отключено кэширование на имя участника-службы. Клиентов и серверов, используйте это значение для возраст и уничтожение записей отрицательных (имя участника-службы не найден). Примечание: записи кэша допустимое имя участника-службы (кэш отрицательных i.e.not) не удаляются после создания 15 минут. Тем не менее, SPNCacheTimeouvalue также используется для уменьшения кэш SPN для управляемый размер - достижении 350 операций, система будет использовать это значение для очистки кэша SPN / очистки старых или неиспользуемых записей.
  • Операция: S4UCacheTimeout
    Тип: REG_DWORD
    По умолчанию Значение: 15 минут

    Это значение является существования отрицательный S4U кэширование записи, которые используются для ограничения числа запросов прокси S4U от конкретный компьютер.
  • Операция: S4UTicketLifetime
    Тип: REG_DWORD
    По умолчанию Значение: 15 минут

    Это значение определяет время жизни билетов полученных запросов прокси S4U.
  • Операция: RetryPdc
    Тип: REG_DWORD
    Значение по умолчанию: 0 (ЛОЖЬ)
    Возможные значения: 0 (ЛОЖЬ) или любое ненулевое значение (ИСТИНА)

    Это значение указывает, будет ли клиент обратится к основной контроллер домена для проверки подлинности запросов службы (AS_REQ) Если клиент Получает ошибка истечения срока действия пароля.
  • Операция: RequestOptions
    Тип: REG_DWORD
    По умолчанию Значение: Любое значение RFC 1510

    Это значение указывает на наличие Дополнительные параметры, которые должны быть отправлены KDC в качестве параметров службы предоставления билетов запросы (TGS_REQ).
  • Операция: ClientIpAddress
    Тип: REG_DWORD
    По умолчанию Значение: 0 (этот параметр равен 0 из-за протокол и сетевой адрес перевод проблемы.)
    Возможные значения: 0 (ЛОЖЬ) или какой-либо ненулевое значение (ИСТИНА)

    Это значение указывает ли IP-адрес клиента будет добавлен в AS_REQ для принудительного Caddr поле, содержащее IP-адреса во всех билеты.
  • Операция: TgtRenewalTime
    Тип: REG_DWORD
    По умолчанию Значение: 600 секунд

    Это значение представляет собой значение времени ожидания Kerberos он пытается обновить билет предоставления билета (TGT) перед билета срок действия.
  • Операция: AllowTgtSessionKey
    Тип: REG_DWORD
    По умолчанию Значение: 0
    Возможные значения: 0 (ЛОЖЬ) или любое ненулевое значение (ИСТИНА)

    Это значение указывает, экспортируются ли ключи сеанса с начальной или с перекрестная проверка подлинности TGT сферы. По умолчанию используется значение false, для обеспечения безопасности по причинам.

Разделы реестра и значения в разделе Kdc

Записи реестра, перечисленные в этом разделе, необходимо добавить в следующем подразделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Примечание Если ключ Kdc не указан в списке служб, необходимо создать ключ.
  • Операция: KdcUseClientAddresses
    Тип: REG_DWORD
    Значение по умолчанию: 0
    Возможные значения: 0 (ЛОЖЬ) или любое ненулевое значение (ИСТИНА)

    Это значение указывает, будет ли IP-адреса будут добавлены в Билеты ответ службы (TGS_REP).
  • Операция: KdcDontCheckAddresses
    Тип: REG_DWORD
    Значение по умолчанию: 1
    Возможные значения: 0 (ЛОЖЬ) или любое ненулевое значение (ИСТИНА)

    Это значение указывает, будет ли IP-адреса для TGS_REQ и поле TGT Caddr будет проверяться.
  • Операция: NewConnectionTimeout
    Тип: REG_DWORD
    Значение по умолчанию: 10 (в секундах)

    Это значение — это время, начальное подключение конечной точки TCP остается открытой для получения данных перед ее отключение.
  • Операция: MaxDatagramReplySize
    Тип: REG_DWORD
    Значение по умолчанию: 1465 (десятичное, байт)

    Это значение является максимальным значением Размер пакета UDP в TGS_REP и ответы службы проверки подлинности (AS_REP) сообщения. Если размер пакета превышает это значение, возвращает KDC KRB_ERR_RESPONSE_TOO_BIG сообщения, запрашивающего клиента переключитесь TCP.

    Примечание Увеличение MaxDatagramReplySize может привести к увеличению вероятность того фрагментированных пакетов Kerberos UDP.

    Для получения дополнительных сведений об этой проблеме щелкните следующий номер статьи базы Microsoft База знаний:
    244474Принудительный Kerberos использует протокол TCP вместо UDP в Windows
  • Операция: KdcExtraLogLevel
    Тип: REG_DWORD
    По умолчанию Значение: 2
    Возможные значения:
    • (десятичное) 1 или 0x1 (шестнадцатеричный): неизвестное имя SPN аудита ошибки.
    • 2 (десятичное) или 0x2 (шестнадцатеричный): PKINIT журнала ошибок. (PKINIT – это проект Интернет IETF (Internet Engineering Task Force) для "Public Ключ шифрования для первоначальной проверки подлинности в Kerberos.»)
    • 4 (десятичное) или 0x4 (шестнадцатеричный): журнал всех KDC ошибки.
    • 8 (десятичное) или 0x8 (шестнадцатеричный): KDC журнал предупреждающее событие 25 в системный журнал, когда пользователь, запрашивающий билет S4U2Self не имеет необходимых прав доступа для конечного пользователя.
    • 16 (десятичное) или 0x10 (шестнадцатеричный): журнал аудита событий тип шифрования (ETYPE) и неверные параметры ошибок.
    Это значение указывает, какая информация будет записать KDC журналы событий и аудит.
  • Операция: KdcDebugLevel
    Тип: REG_DWORD
    По умолчанию Значение: 1 для проверенная 0 бесплатно построения

    Это значение указывает является ли журнал отладки (1) или off (0).

    Если имеет значение 0x10000000 (шестнадцатеричный) или 268435456 (в десятичной системе), определенного файла или строки будут возвращены сведения в поле edata KERB_ERRORS как PKERB_EXT_ERROR ошибки во время сбоя обработки KDC.

Свойства

Код статьи: 837361 - Последний отзыв: 16 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
  • Windows 7 Корпоративная
  • Windows 7 Профессиональная
  • Windows Vista Business
  • Windows Vista Enterprise
  • Service Pack 2 для Windows Vista
  • Microsoft Windows XP Service Pack 3
Ключевые слова: 
kbwinservnetwork kbsecurityservices kbregistry kbinfo kbmt KB837361 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:837361

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com