Bu makalede, Microsoft Windows Server 2003'te Kerberos sürüm 5 kimlik doğrulama iletişim kuralı ile ilgili kayıt defteri girdileri hakkında bilgi içerir.
Kullanıcı veya ana bilgisayar kimliğini doğrulamak için kullanılan kimlik doğrulama mekanizması Kerberos'tur. Windows Server 2003'te, hizmetler için tercih edilen kimlik doğrulama yöntemi Kerberos'tur.
Windows Server 2003 çalıştırıyorsanız, Kerberos ile ilgili sorun giderme amacıyla Kerberos parametreleri değiştirebilirsiniz kimlik doğrulama sorunları veya Kerberos iletişim kuralı sınanacak. Bunu yapmak için <a0></a0>, eklemek veya "Ek bilgiler" olarak listelenen kayıt defteri girdilerini değiştirme bölümü.
Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl söyleyin adımları içerir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
Windows'da kayıt defterini yedekleme ve geri yükleme
Not Sorun giderme veya Kerberos sınama işlemini tamamladıktan sonra iletişim kuralı, eklediğiniz herhangi bir kayıt defteri girdilerini kaldırın. Aksi halde, bilgisayarınızın performansını etkilenip etkilenmedikleri sınanmamıştır.
Kayıt defteri girdileri ve değerleri, Parameters anahtarı altında
Bu bölümde listelenen kayıt defteri girdileri aşağıdaki kayıt defteri alt anahtarını eklenmiş olması gerekir:
Bu değer izin verilen en uzun süreyi Kerberos kabul eden sunucu ile istemci bilgisayar arasındaki farktır kimlik doğrulaması. Windows 2000'de, sürüm oluşturma, varsayılan değer 2 saattir SkewTime denetledi.
Not Bir Windows işletim sisteminin denetlenmiş oluşturma sürümü, üretim ve sınama ortamlarında kullanılır. (Bir denetlenmiş oluşturma olarak da bilinen bir hata ayıklama sürümüdür.) Denetlenen BIR yap? devre dışı bırakılmış çok sayıda derleyici iyileştirmeleri içerir. Bu tür oluşturmanıza yardımcı olur ve izleme sistem yazılımı sorunlara neden. Hata ayıklama denetimleri pek çok sistem sürücüleri ve işletim sistemi kodunun denetlenen BIR yap? açar. Bu hata ayıklama denetimler oluştuğunda gibi iç tutarsızlıkları tanımlamak denetlenmiş oluşturma yardımcı olur. Denetlenen BIR yap? büyükse ve Windows son kullanıcı sürümü yavaştır.
Windows son kullanıcı sürümü de bir boş Yapı sürümünü veya bir perakende Yapı sürümünü denir. Boş yapı sürümünde hata ayıklama bilgileri kaldırılır ve Windows, tam bir derleyici en iyi duruma getirmeleri ile oluşturulmuştur. Boş yapı sürümünü daha hızlıdır ve denetlenmiş oluşturma sürümünden daha az bellek kullanır.
Giriş: LogLevel Türü: REG_DWORD Değer varsayılan: 0
Bu değer, olayları sistem olay günlüğüne günlüğe kaydedilip kaydedilmeyeceğini belirtir. Bu değer sıfır olmayan bir değere ayarlanırsa, tüm Kerberos ile ilgili olayları sistem olay günlüğüne kaydedilir.
Bu değer türünü gösteren bayrakların bir listesi ve, günlüğe kaydetme düzeyini istedi. Bu tür bir oturum açma bit veya bir veya daha fazlası aşağıdaki tabloda açıklanan makroları Kerberos bileşeni düzeyini toplanabilir.
Bu tabloyu kapaBu tabloyu aç
Makro adı
Değer
NOT
deb_error
0x00000001
Bu varsayılandır InfoLevel denetlenmiş yapılar için. Bu, bileşenlerinde hata iletileri oluşturur.
deb_warn
0x00000002
Bu makro, bileşenlerinde uyarı iletileri oluşturur. Bazı durumlarda, bu iletiler yoksayılabilir.
deb_trace
0x00000004
Bu makro genel izleme olaylarını sağlar.
deb_trace_api
0x00000008
Bu makro <a1>kullanıcı</a1> API izleme, genellikle giriş ve çıkış SSPI gerçekleştirilen bir dışarıda verilen işlevi için günlüğe kaydedilen olaylar sağlar.
deb_trace_cred
0x00000010
Bu makro, izleme kimlik bilgilerini sağlar.
deb_trace_ctxt
0x00000020
Bu makro, içerik izlemeyi etkinleştirir.
deb_trace_lsess
0x00000040
Bu makro, oturum açma oturum izleme sağlar.
deb_trace_tcache
0x00000080
Uygulanmadı
deb_trace_logon
0x00000100
Bu makro, oturum izleme gibi LsaApLogonUserEx2() sağlar.
deb_trace_kdc
0x00000200
Bu makro, önce veya sonra KerbMakeKdcCall() çağrılarını izlemeyi etkinleştirir.
DEB_TRACE_CTXT2
0x00000400
Bu makro, ek içerik izlemeyi etkinleştirir.
deb_trace_time
0x00000800
Bu makro eğriltme izleme Timesync.cxx içinde bulunan zaman sağlar.
deb_trace_user
0x00001000
Bu makro, DEB_TRACE_API ile birlikte kullanılır ve genellikle Userapi.cxx içinde bulunan kullanıcı API izlemeyi etkinleştirir.
deb_trace_leaks
0x00002000
deb_trace_sock
0x00004000
Bu makro, Winsock ile ilgili olayları sağlar.
deb_trace_spn_cache
0x00008000
Bu makro SPN Önbellek isabet ve isabetsizliği ilgili olayları sağlar.
Bu değer Kerberos en büyük değeridir belirteci. Microsoft, bu değer daha az 65535 ayarlamak önerir.
Giriş: SpnCacheTimeout Türü: REG_DWORD Varsayılan Değer: 15 dakika
Bu hizmet asıl adı (SPN) önbelleği girdilerinin yaşam değerdir. Etki alanı denetleyicilerinde SPN önbelleği devre dışı bırakılır.
Giriş: S4UCacheTimeout Türü: REG_DWORD Varsayılan Değer: 15 dakika
Bu etkinlik süresi, belirli bir bilgisayardan S4U proxy isteklerin sayısını sınırlandırmak için kullanılır, S4U olumsuz önbellek girdilerini değerdir.
Giriş: S4UTicketLifetime Türü: REG_DWORD Varsayılan Değer: 15 dakika
Bu etkinlik süresi biletler, S4U proxy isteklerini tarafından elde edilen değerdir.
Giriş: RetryPdc Türü: REG_DWORD Varsayılan değer: 0 (yanlış) Olası değerler: 0 (yanlış) veya herhangi bir sıfır olmayan değer (true)
Bu değer, istemci bir parola süre sonu hatası alır, istemci birincil etki alanı denetleyicisi kimlik doğrulaması hizmeti istekleri (AS_REQ) bağlantı kurar olup olmadığını belirtir.
Giriş: RequestOptions Türü: REG_DWORD Varsayılan Değer: bir RFC) 1510 değeri
Bu değer, KDC seçenekleri olarak gönderilmesi gereken ek bir seçenek olup, Ticket Granting Service (TGS_REQ) istekleri belirtir.
Giriş: ClientIpAddress Türü: REG_DWORD Varsayılan değer: 0 (Bu ayar, dinamik ana bilgisayar yapılandırma iletişim kuralı'nı ve ağ adresi çevirisi sorunları nedeniyle 0 olur.) Olası değerler: 0 (yanlış) veya herhangi bir sıfır olmayan değer (true)
Bu değer, bir istemci IP adresi AS_REQ Caddr alan tüm biletler, IP adreslerini içerecek şekilde zorlamak için eklenecek olup olmadığını belirtir.
Bu değer, önceki Kerberos bekleyeceği Ticket Granting bilet (TGT), bilet süresi dolmadan önce yenilemek üzere saattir.
Giriş: AllowTgtSessionKey Türü: REG_DWORD Varsayılan Değer: 0 Olası değerler: 0 (yanlış) veya herhangi bir sıfır olmayan değer (true)
Bu değer, oturum anahtarlarının veya başlangıç ile verilen belirtir çapraz bölge TGT kimlik doğrulaması. Güvenlik nedenleriyle varsayılan değeri false'tur.
Kayıt defteri girdileri ve değerleri Kdc anahtarının altında
Bu bölümde listelenen kayıt defteri girdileri aşağıdaki kayıt defteri alt anahtarını eklenmiş olması gerekir:
Bu değer en büyük UDP paket boyutunu TGS_REP ve kimlik doğrulama hizmeti iletilerime gönderilen yanıtları (AS_REP) iletilerinde kullanılabilir. Paket boyutu, bu değeri aşarsa, KDC, istemciye, TCP'YE geçme istekleri KRB_ERR_RESPONSE_TOO_BIG iletiye döndürür.
Not MaxDatagramReplySize artırma parçalanmış Kerberos UDP paketlerini olasılığını artırabilir.
Bu sorun hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
1 (ondalık) veya <a1>0x1</a1> (onaltılık): denetim SPN Bilinmeyen hata.
2 (ondalık) veya 0x2 (onaltılı): günlük PKINIT hataları. (PKINIT "Ortak anahtar şifrelemesi" için Kerberos kimlik doğrulama ilk. için bir ınternet Engineering Task Force (IETF) ınternet taslağı'dır)
4 (ondalık) veya 0x4 (onaltılık): tüm KDC oturum hataları.
8 (ondalık) veya <a1>0x8</a1> (onaltılık): günlük KDC S4U2Self bileti isteyen kullanıcının hedef kullanıcı yeterli erişim hakkınız yok, sistem günlüğüne Uyarı olay 25.
16 (ondalık) veya <a1>0x10</a1> (onaltılık): şifreleme türü (ETYPE) ve hatalı seçenekleri hata günlüğü denetim olayları.
Bu değer, KDC, olay günlükleri ve çok yazacaksınız hangi bilgilerin denetimleri belirtir.
Giriş: KdcDebugLevel Türü: REG_DWORD Varsayılan Değer: checked derlemesi için 1, 0'ın ücretsiz derlemesi için
Bu değer, hata ayıklama günlüğü (1) olduğunu belirtir veya (0).
Değer (onaltılık) 0x10000000 veya 268435456 (ondalık) ayarlı ise, belirli bir dosya veya satır bilgi KERB_ERRORS edata alanında bir KDC işleme hatası sırasında PKERB_EXT_ERROR hataları olarak döndürülür.
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Teşekkürler! Görüşleriniz, destek içeriğimizi geliştirmemize yardımcı olmak için kullanılmaktadır. Diğer yardım seçenekleri için, lütfen Yardım ve Destek Giriş Sayfasını ziyaret edin.
Üste
