Windows'da Kerberos protokolü kayıt defteri girdileri ve KDC yapılandırma anahtarları
Bu makalede, Kerberos sürüm 5 kimlik doğrulama protokolü ve Anahtar Dağıtım Merkezi (KDC) yapılandırması hakkındaki kayıt defteri girdileri açıklanmaktadır.
Şunlar için geçerlidir: Windows 11, Windows 10, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Özgün KB numarası: 837361
Özet
Kerberos, kullanıcı veya konak kimliğini doğrulamak için kullanılan bir kimlik doğrulama mekanizmasıdır. Kerberos, Windows'daki hizmetler için tercih edilen kimlik doğrulama yöntemidir.
Windows çalıştırıyorsanız, Kerberos kimlik doğrulaması sorunlarını gidermeye yardımcı olmak veya Kerberos protokollerini test etmek için Kerberos parametrelerini değiştirebilirsiniz. Bunu yapmak için, aşağıdaki bölümlerde listelenen kayıt defteri girdilerini ekleyin veya değiştirin.
Önemli
Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'ta kayıt defterini yedekleme ve geri yükleme.
Not
Kerberos protokolü sorunlarını gidermeyi veya test etme işlemini tamamladıktan sonra, eklediğiniz kayıt defteri girdilerini kaldırın. Aksi takdirde, bilgisayarınızın performansı etkilenebilir.
Parameters anahtarının altındaki kayıt defteri girdileri ve değerleri
Bu bölümde listelenen kayıt defteri girdilerinin aşağıdaki kayıt defteri alt anahtarına eklenmesi gerekir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Not
Parametreler anahtarı Kerberos altında listelenmiyorsa, anahtarı oluşturmanız gerekir.
Girdi: SkewTime
Tür: REG_DWORD
Varsayılan değer: 5 (dakika)
Bu değer, istemci bilgisayar ile Kerberos kimlik doğrulamasını veya KDC'yi kabul eden sunucu arasında izin verilen en fazla zaman farkıdır.
Not
SkewTime, yeniden kullanım için Kerberos anahtarı geçerliliğinin belirlenmesinde dikkate alınır. Süre sonu süresi geçerli saatten + SkewTime değerinden kısaysa biletin süresi dolmuş olarak kabul edilir. Örneğin, SkewTime 20 dakika olarak ayarlanırsa ve geçerli saat 08:00 ise, 08:20'ye kadar süre sonu olan tüm biletlerin süresi dolmuş olarak kabul edilir.
Girdi: LogLevel
Tür: REG_DWORD
Varsayılan değer: 0
Bu değer, olayların sistem olay günlüğüne kaydedilip kaydedilmediğini gösterir. Bu değer sıfır olmayan bir değere ayarlanırsa, Kerberos ile ilgili tüm olaylar sistem olay günlüğüne kaydedilir.
Not
Günlüğe kaydedilen olaylar, Kerberos istemcisinin daha sonra başarılı olan farklı istek bayraklarıyla yeniden deneme yaptığı hatalı pozitif sonuçları içerebilir. Bu nedenle, bu ayara göre günlüğe kaydedilen bir olay gördüğünüzde Kerberos sorununuz olduğunu varsaymayın. Daha fazla bilgi için bkz. Kerberos olay günlüğünü etkinleştirme .
Girdi: MaxPacketSize
Tür: REG_DWORD
Varsayılan değer: 1465 (bayt)
Bu değer, en büyük Kullanıcı Veri Birimi Protokolü (UDP) paket boyutudur. Paket boyutu bu değeri aşarsa TCP kullanılır.
Windows Vista'da ve Windows'un sonraki sürümlerinde bu değer için varsayılan değer 0'dır, bu nedenle UDP hiçbir zaman Windows Kerberos İstemcisi tarafından kullanılmaz.
Girdi: StartupTime
Tür: REG_DWORD
Varsayılan değer: 120 (saniye)
Bu değer, Windows'un, Windows'un vazgeçmeden önce KDC'nin başlatılmasını beklediği süredir.
Girdi: KdcWaitTime
Tür: REG_DWORD
Varsayılan değer: 10 (saniye)
Bu değer, Windows'un KDC'den yanıt beklediği zamandır.
Girdi: KdcBackoffTime
Tür: REG_DWORD
Varsayılan değer: 10 (saniye)
Bu değer, önceki çağrı başarısız olursa KDC'ye yapılan ardışık çağrılar arasındaki süredir.
Girdi: KdcSendRetries
Tür: REG_DWORD
Varsayılan değer: 3
Bu değer, bir istemcinin KDC ile iletişim kurmaya çalışma sayısıdır.
Girdi: DefaultEncryptionType
Tür: REG_DWORD
Bu değer, ön kimlik doğrulaması için varsayılan şifreleme türünü gösterir. RC4 için varsayılan değer 23 (ondalık) veya 0x17 (onaltılık)
AES kullanmak istediğinizde, değeri aşağıdaki değerlerden birine ayarlayın:
- aes256-cts-hmac-sha1-96: 18 veya 0x12
- aes128-cts-hmac-sha1-96: 17 veya 0x11
Bu değer, ön kimlik doğrulaması için varsayılan şifreleme türünü gösterir.
Girdi: FarKdcTimeout
Tür: REG_DWORD
Varsayılan değer: 10 (dakika)
Bu, etki alanı denetleyicisi önbelleğindeki farklı bir siteden etki alanı denetleyicisini geçersiz kılmada kullanılan zaman aşımı değeridir.
Giriş: NearKdcTimeout
Tür: REG_DWORD
Varsayılan değer: 30 (dakika)
Bu, etki alanı denetleyicisi önbelleğinde aynı sitedeki bir etki alanı denetleyicisini geçersiz kılmada kullanılan zaman aşımı değeridir.
Girdi: StronglyEncryptDatagram
Tür: REG_BOOL
Varsayılan değer: YANLIŞ
Bu değer, veri birimi paketleri için 128 bit şifreleme kullanılıp kullanılmayacağını belirten bir bayrak içerir.
Girdi: MaxReferralCount
Tür: REG_DWORD
Varsayılan değer: 6
Bu değer, istemci vazgeçmeden önce bir istemcinin izlediği KDC başvurularının sayısıdır.
Girdi: MaxTokenSize
Tür: REG_DWORD
Varsayılan değer: 12000 (Ondalık). Windows Server 2012 ve Windows 8 başlayarak varsayılan değer 48000'dir.
Bu değer Kerberos belirtecinin en büyük değeridir. Microsoft bu değeri 65535'ten küçük olarak ayarlamanızı önerir. Daha fazla bilgi için bkz. Bir kullanıcı birçok gruba ait olduğunda Kerberos kimlik doğrulamasıyla ilgili sorunlar.
Girdi: SpnCacheTimeout
Tür: REG_DWORD
Varsayılan değer: 15 dakika
Bu değer sistem tarafından Hizmet Asıl Adları (SPN) önbellek girdileri temizlenirken kullanılır. Etki alanı denetleyicilerinde SPN önbelleği devre dışı bırakılır. İstemciler ve üye sunucular bu değeri kullanarak eskir ve negatif önbellek girdilerini temizler (SPN bulunamadı). Geçerli SPN önbellek girdileri (örneğin, negatif önbellek değil) 15 dakika oluşturulduktan sonra silinmez. Ancak, SPN önbelleğini yönetilebilir bir boyuta küçültmek için SPNCacheTimeout değeri de kullanılır. SPN önbelleği 350 girişe ulaştığında sistem bu değeri
scavenge / cleanupeski ve kullanılmayan girdilerde kullanır.
Giriş: S4UCacheTimeout
Tür: REG_DWORD
Varsayılan değer: 15 dakika
Bu değer, belirli bir bilgisayardan gelen S4U proxy isteklerinin sayısını kısıtlamak için kullanılan S4U negatif önbellek girdilerinin ömrüdür.
Girdi: S4UTicketLifetime
Tür: REG_DWORD
Varsayılan değer: 15 dakika
Bu değer, S4U proxy istekleri tarafından alınan biletlerin ömrüdür.
Girdi: RetryPdc
Tür: REG_DWORD
Varsayılan değer: 0 (yanlış)
Olası değerler: 0 (yanlış) veya sıfır olmayan herhangi bir değer (doğru)
Bu değer, istemci parola süre sonu hatası alırsa, istemcinin Kimlik Doğrulama Hizmeti İstekleri (AS_REQ) için birincil etki alanı denetleyicisiyle iletişim kurup kurmayacağını gösterir.
Giriş: RequestOptions
Tür: REG_DWORD
Varsayılan değer: Herhangi bir RFC 1510 değeri
Bu değer, Bilet Verme Hizmeti isteklerinde (TGS_REQ) KDC seçenekleri olarak gönderilmesi gereken daha fazla seçenek olup olmadığını gösterir.
Girdi: ClientIpAddresses
Tür: REG_DWORD
Varsayılan değer: 0 (Dinamik Ana Bilgisayar Yapılandırma Protokolü ve ağ adresi çevirisi sorunları nedeniyle bu ayar 0'dır.)
Olası değerler: 0 (yanlış) veya sıfır olmayan herhangi bir değer (doğru)
Bu değer, alanı tüm biletlerde IP adreslerini içerecek şekilde zorlamak için bir istemci IP adresinin AS_REQ eklenip eklenmeyeceğini
Caddrgösterir.
Girdi: TgtRenewalTime
Tür: REG_DWORD
Varsayılan değer: 600 saniye
Bu değer, Kerberos'un anahtar süresi dolmadan önce Anahtar Verme Anahtarını (TGT) yenilemeyi denemeden önce beklediği süredir.
Girdi: AllowTgtSessionKey
Tür: REG_DWORD
Varsayılan değer: 0
Olası değerler: 0 (yanlış) veya sıfır olmayan herhangi bir değer (doğru)
Bu değer, oturum anahtarlarının ilk veya bölgeler arası TGT kimlik doğrulamasıyla dışarı aktarılıp aktarılmadığını gösterir. Güvenlik nedenleriyle varsayılan değer false'tur.
Not
Windows'un Windows 10 ve sonraki sürümlerinde etkin Credential Guard ile TGT oturum anahtarlarının uygulamalarla paylaşılması artık etkinleştiremezsiniz.
Kdc anahtarı altındaki kayıt defteri girdileri ve değerleri
Bu bölümde listelenen kayıt defteri girdilerinin aşağıdaki kayıt defteri alt anahtarına eklenmesi gerekir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Not
Kdc anahtarı Hizmetler altında listelenmiyorsa, anahtarı oluşturmanız gerekir.
Girdi: KdcUseClientAddresses
Tür: REG_DWORD
Varsayılan değer: 0
Olası değerler: 0 (yanlış) veya sıfır olmayan herhangi bir değer (doğru)
Bu değer, IP adreslerinin Ticket-Granting Hizmet Yanıtı'na (TGS_REP) eklenip eklenmeyeceğini gösterir.
Girdi: KdcDontCheckAddresses
Tür: REG_DWORD
Varsayılan değer: 1
Olası değerler: 0 (yanlış) veya sıfır olmayan herhangi bir değer (doğru)
Bu değer, TGS_REQ ve TGT
Caddralanının IP adreslerinin denetlenip denetlenmeyeceğini gösterir.
Girdi: NewConnectionTimeout
Tür: REG_DWORD
Varsayılan değer: 10 (saniye)
Bu değer, ilk TCP uç noktası bağlantısının bağlantıyı kesmeden önce verileri almak için açık tutulacağı zamandır.
Girdi: MaxDatagramReplySize
Tür: REG_DWORD
Varsayılan değer: 1465 (ondalık, bayt)
Bu değer, TGS_REP ve Kimlik Doğrulama Hizmeti Yanıtları (AS_REP) iletilerinde maksimum UDP paket boyutudur. Paket boyutu bu değeri aşarsa, KDC istemcinin TCP'ye geçişini isteyen bir "KRB_ERR_RESPONSE_TOO_BIG" iletisi döndürür.
Not
MaxDatagramReplySize değerinin artırılması Kerberos UDP paketlerinin parçalanma olasılığını artırabilir.
Bu sorun hakkında daha fazla bilgi için bkz. Kerberos'un Windows'da UDP yerine TCP kullanmaya zorlama.
Girdi: KdcExtraLogLevel
Tür: REG_DWORD
Varsayılan değer: 2
Olası değerler:
- 1 (ondalık) veya 0x1 (onaltılık): Güvenlik olay günlüğünde bilinmeyen SPN hatalarını denetleyin. Olay Kimliği 4769 başarısız bir denetimle günlüğe kaydedilir.
- 2 (ondalık) veya 0x2 (onaltılık): Günlük PKINIT hataları. Bu, sistem olay günlüğüne KDC uyarı olay kimliği 21'i (varsayılan olarak etkin) günlüğe kaydeder. PKINIT, Kerberos'ta İlk Kimlik Doğrulaması için Ortak Anahtar Şifrelemesi için bir İnternet Mühendisliği Görev Gücü (IETF) İnternet taslağıdır.
- 4 (ondalık) veya 0x4 (onaltılık): Tüm KDC hatalarını günlüğe kaydeder. Bu, sistem olay günlüğüne bir KDC olay kimliği 24 (U2U gerekli sorunlar örneği) kaydeder.
- 8 (ondalık) veya 0x8 (onaltılık): S4U2Self anahtarını isteyen kullanıcının hedef kullanıcıya yeterli erişimi olmadığında sistem günlüğüne bir KDC uyarı olayı kimliği 25 kaydedin.
- 16 (ondalık) veya 0x10 (onaltılık): Denetim olaylarını şifreleme türüne (ETYPE) ve hatalı seçenek hatalarına günlüğe kaydeder. Bu değer, KDC'nin olay günlüklerine ve güvenlik olay günlüğündeki denetimlere hangi bilgileri yazacağını gösterir. Olay Kimliği 4769 başarısız bir denetimle günlüğe kaydedilir.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin