Kayıt defteri girdileri ve Windows Server 2003'te KDC konfigürasyon anahtarları, Kerberos iletişim kuralı

Makale çevirileri Makale çevirileri
Makale numarası: 837361 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Bu makalede, Microsoft Windows Server 2003'te Kerberos sürüm 5 kimlik doğrulama iletişim kuralı ile ilgili kayıt defteri girdileri hakkında bilgi içerir.

Giriş

Kullanıcı veya ana bilgisayar kimliğini doğrulamak için kullanılan kimlik doğrulama mekanizması Kerberos'tur. Windows Server 2003'te, hizmetler için tercih edilen kimlik doğrulama yöntemi Kerberos'tur.

Windows Server 2003 çalıştırıyorsanız, Kerberos ile ilgili sorun giderme amacıyla Kerberos parametreleri değiştirebilirsiniz kimlik doğrulama sorunları veya Kerberos iletişim kuralı sınanacak. Bunu yapmak için <a0></a0>, eklemek veya "Ek bilgiler" olarak listelenen kayıt defteri girdilerini değiştirme bölümü.

Daha fazla bilgi

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl söyleyin adımları içerir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756Windows'da kayıt defterini yedekleme ve geri yükleme
Not Sorun giderme veya Kerberos sınama işlemini tamamladıktan sonra iletişim kuralı, eklediğiniz herhangi bir kayıt defteri girdilerini kaldırın. Aksi halde, bilgisayarınızın performansını etkilenip etkilenmedikleri sınanmamıştır.

Kayıt defteri girdileri ve değerleri, Parameters anahtarı altında

Bu bölümde listelenen kayıt defteri girdileri aşağıdaki kayıt defteri alt anahtarını eklenmiş olması gerekir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Not Parameters anahtarı altında Kerberos listeleniyorsa, bu anahtar oluşturmanız gerekir.
  • Giriş: SkewTime
    Türü: REG_DWORD
    Varsayılan değer: 5 (dakika)

    Bu değer izin verilen en uzun süreyi Kerberos kabul eden sunucu ile istemci bilgisayar arasındaki farktır kimlik doğrulaması. Windows 2000'de, sürüm oluşturma, varsayılan değer 2 saattir SkewTime denetledi.

    Not Bir Windows işletim sisteminin denetlenmiş oluşturma sürümü, üretim ve sınama ortamlarında kullanılır. (Bir denetlenmiş oluşturma olarak da bilinen bir hata ayıklama sürümüdür.) Denetlenen BIR yap? devre dışı bırakılmış çok sayıda derleyici iyileştirmeleri içerir. Bu tür oluşturmanıza yardımcı olur ve izleme sistem yazılımı sorunlara neden. Hata ayıklama denetimleri pek çok sistem sürücüleri ve işletim sistemi kodunun denetlenen BIR yap? açar. Bu hata ayıklama denetimler oluştuğunda gibi iç tutarsızlıkları tanımlamak denetlenmiş oluşturma yardımcı olur. Denetlenen BIR yap? büyükse ve Windows son kullanıcı sürümü yavaştır.

    Windows son kullanıcı sürümü de bir boş Yapı sürümünü veya bir perakende Yapı sürümünü denir. Boş yapı sürümünde hata ayıklama bilgileri kaldırılır ve Windows, tam bir derleyici en iyi duruma getirmeleri ile oluşturulmuştur. Boş yapı sürümünü daha hızlıdır ve denetlenmiş oluşturma sürümünden daha az bellek kullanır.
  • Giriş: LogLevel
    Türü: REG_DWORD
    Değer varsayılan: 0

    Bu değer, olayları sistem olay günlüğüne günlüğe kaydedilip kaydedilmeyeceğini belirtir. Bu değer sıfır olmayan bir değere ayarlanırsa, tüm Kerberos ile ilgili olayları sistem olay günlüğüne kaydedilir.
  • Giriş: MaxPacketSize
    Türü: REG_DWORD
    Varsayılan Değer: 1465 (bayt)

    Bu değerdir en fazla Kullanıcı Datagram Protokolü (UDP) paket boyutu. Paket boyutu, bu değeri aşarsa, TCP kullanılır.
  • Giriş: StartupTime
    Türü: REG_DWORD
    Varsayılan değer: 120 (saniye)

    Bu değer Anahtar Dağıtım Merkezi (KDC) Windows verir için önce başlatmak için Windows bekleyeceği süredir.
  • Giriş: KdcWaitTime
    Türü: REG_DWORD
    Varsayılan değer: 10 (saniye)

    Bu değer, Windows bir KDC yanıt bekler saattir.
  • Giriş: KdcBackoffTime
    Türü: REG_DWORD
    Varsayılan Değeri: <a1>10</a1> (saniye)


    Bu değer önceki çağrısı başarısız oldu, KDC art arda yapılan arasındaki süredir.
  • Giriş: KdcSendRetries
    Türü: REG_DWORD
    Varsayılan Değer: 3

    Bu bir istemci bir KDC bağlanmaya sayıda değerdir.
  • Giriş: DefaultEncryptionType
    Türü: REG_DWORD
    Varsayılan değer: 23 (ondalık) veya <a1>0x17</a1> (onaltılık)

    Bu değer ön kimlik doğrulama için varsayılan şifreleme türünü belirtir.
  • Giriş: FarKdcTimeout
    Türü: REG_DWORD
    Varsayılan Değeri: <a1>10</a1> (dakika)

    Bir etki alanı denetleyicisinden farklı bir site etki alanı denetleyicisi önbelleğindeki geçersiz kılmak için kullanılan zaman aşımı değeri budur.
  • Giriş: NearKdcTimeout
    Türü: REG_DWORD
    Varsayılan Değer: 30 (dakika)

    Bir etki alanı denetleyicisi aynı sitede etki alanı denetleyicisi önbelleğinde geçersiz kılmak için kullanılan zaman aşımı değeri budur.
  • Giriş: StronglyEncryptDatagram
    Türü: REG_BOOL
    Değer varsayılan: YANLıŞ

    Bu değer, 128 bit şifreleme datagram paketleri için kullanılıp kullanılmayacağını belirten bir bayrak içerir.
  • Giriş: MaxReferralCount
    Türü: REG_DWORD
    Varsayılan Değer: 6

    Bu değer, bir istemci, istemci verir önce pursues KDC başvurularına sayısıdır.
  • Giriş: KerbDebugLevel
    Türü: REG_DWORD
    Varsayılan Değer: 0xFFFFFFFF

    Bu değer türünü gösteren bayrakların bir listesi ve, günlüğe kaydetme düzeyini istedi. Bu tür bir oturum açma bit veya bir veya daha fazlası aşağıdaki tabloda açıklanan makroları Kerberos bileşeni düzeyini toplanabilir.
    Bu tabloyu kapaBu tabloyu aç
    Makro adıDeğerNOT
    deb_error0x00000001Bu varsayılandır InfoLevel denetlenmiş yapılar için. Bu, bileşenlerinde hata iletileri oluşturur.
    deb_warn0x00000002Bu makro, bileşenlerinde uyarı iletileri oluşturur. Bazı durumlarda, bu iletiler yoksayılabilir.
    deb_trace0x00000004Bu makro genel izleme olaylarını sağlar.
    deb_trace_api0x00000008Bu makro <a1>kullanıcı</a1> API izleme, genellikle giriş ve çıkış SSPI gerçekleştirilen bir dışarıda verilen işlevi için günlüğe kaydedilen olaylar sağlar.
    deb_trace_cred0x00000010Bu makro, izleme kimlik bilgilerini sağlar.
    deb_trace_ctxt0x00000020Bu makro, içerik izlemeyi etkinleştirir.
    deb_trace_lsess0x00000040Bu makro, oturum açma oturum izleme sağlar.
    deb_trace_tcache0x00000080Uygulanmadı
    deb_trace_logon0x00000100Bu makro, oturum izleme gibi LsaApLogonUserEx2() sağlar.
    deb_trace_kdc0x00000200Bu makro, önce veya sonra KerbMakeKdcCall() çağrılarını izlemeyi etkinleştirir.
    DEB_TRACE_CTXT20x00000400Bu makro, ek içerik izlemeyi etkinleştirir.
    deb_trace_time0x00000800Bu makro eğriltme izleme Timesync.cxx içinde bulunan zaman sağlar.
    deb_trace_user0x00001000Bu makro, DEB_TRACE_API ile birlikte kullanılır ve genellikle Userapi.cxx içinde bulunan kullanıcı API izlemeyi etkinleştirir.
    deb_trace_leaks0x00002000
    deb_trace_sock0x00004000Bu makro, Winsock ile ilgili olayları sağlar.
    deb_trace_spn_cache0x00008000Bu makro SPN Önbellek isabet ve isabetsizliği ilgili olayları sağlar.
    DEB_S4U_ERROR0x00010000Uygulanmadı
    DEB_TRACE_S4U0x00020000
    deb_trace_bnd_cache0x00040000
    deb_trace_loopback0x00080000
    deb_trace_tkt_renewal0x00100000
    DEB_TRACE_U2U0x00200000
    deb_trace_locks0x01000000
    deb_use_log_file0x02000000Uygulanmadı
  • Giriş: MaxTokenSize
    Türü: REG_DWORD
    Varsayılan değer: 12000 (ondalık)

    Bu değer Kerberos en büyük değeridir belirteci. Microsoft, bu değer daha az 65535 ayarlamak önerir.
  • Giriş: SpnCacheTimeout
    Türü: REG_DWORD
    Varsayılan Değer: 15 dakika

    Bu hizmet asıl adı (SPN) önbelleği girdilerinin yaşam değerdir. Etki alanı denetleyicilerinde SPN önbelleği devre dışı bırakılır.
  • Giriş: S4UCacheTimeout
    Türü: REG_DWORD
    Varsayılan Değer: 15 dakika

    Bu etkinlik süresi, belirli bir bilgisayardan S4U proxy isteklerin sayısını sınırlandırmak için kullanılır, S4U olumsuz önbellek girdilerini değerdir.
  • Giriş: S4UTicketLifetime
    Türü: REG_DWORD
    Varsayılan Değer: 15 dakika

    Bu etkinlik süresi biletler, S4U proxy isteklerini tarafından elde edilen değerdir.
  • Giriş: RetryPdc
    Türü: REG_DWORD
    Varsayılan değer: 0 (yanlış)
    Olası değerler: 0 (yanlış) veya herhangi bir sıfır olmayan değer (true)

    Bu değer, istemci bir parola süre sonu hatası alır, istemci birincil etki alanı denetleyicisi kimlik doğrulaması hizmeti istekleri (AS_REQ) bağlantı kurar olup olmadığını belirtir.
  • Giriş: RequestOptions
    Türü: REG_DWORD
    Varsayılan Değer: bir RFC) 1510 değeri

    Bu değer, KDC seçenekleri olarak gönderilmesi gereken ek bir seçenek olup, Ticket Granting Service (TGS_REQ) istekleri belirtir.
  • Giriş: ClientIpAddress
    Türü: REG_DWORD
    Varsayılan değer: 0 (Bu ayar, dinamik ana bilgisayar yapılandırma iletişim kuralı'nı ve ağ adresi çevirisi sorunları nedeniyle 0 olur.)
    Olası değerler: 0 (yanlış) veya herhangi bir sıfır olmayan değer (true)

    Bu değer, bir istemci IP adresi AS_REQ Caddr alan tüm biletler, IP adreslerini içerecek şekilde zorlamak için eklenecek olup olmadığını belirtir.
  • Giriş: TgtRenewalTime
    Türü: REG_DWORD
    Varsayılan Değer: 600 saniye

    Bu değer, önceki Kerberos bekleyeceği Ticket Granting bilet (TGT), bilet süresi dolmadan önce yenilemek üzere saattir.
  • Giriş: AllowTgtSessionKey
    Türü: REG_DWORD
    Varsayılan Değer: 0
    Olası değerler: 0 (yanlış) veya herhangi bir sıfır olmayan değer (true)

    Bu değer, oturum anahtarlarının veya başlangıç ile verilen belirtir çapraz bölge TGT kimlik doğrulaması. Güvenlik nedenleriyle varsayılan değeri false'tur.

Kayıt defteri girdileri ve değerleri Kdc anahtarının altında

Bu bölümde listelenen kayıt defteri girdileri aşağıdaki kayıt defteri alt anahtarını eklenmiş olması gerekir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Not Kdc anahtarının altındaki Hizmetler'i listeleniyorsa, bu anahtar oluşturmanız gerekir.
  • Giriş: KdcUseClientAddresses
    Türü: REG_DWORD
    Değer varsayılan: 0
    Olası değerler: 0 (yanlış) veya herhangi bir sıfır olmayan değer (doğru)

    Bu değer, IP adreslerini Ticket Granting Service Yanıtla'de (TGS_REP) eklenecek olup olmadığını belirtir.
  • Giriş: KdcDontCheckAddresses
    Türü: REG_DWORD
    Değer varsayılan: 1
    Olası değerler: 0 (yanlış) veya herhangi bir sıfır olmayan değer (doğru)

    Bu değer, TGS_REQ ve TGT Caddr alanı için IP adreslerini denetlenir olup olmadığını belirtir.
  • Giriş: NewConnectionTimeout
    Türü: REG_DWORD
    Varsayılan değer: 10 (saniye)

    Bu değer, ilk TCP bitiş noktası bağlantıyı, bağlantısını kesmeden önce veri almak üzere açık tutulacak saattir.
  • Giriş: MaxDatagramReplySize
    Türü: REG_DWORD
    Varsayılan değer: 1465 (ondalık, bayt)

    Bu değer en büyük UDP paket boyutunu TGS_REP ve kimlik doğrulama hizmeti iletilerime gönderilen yanıtları (AS_REP) iletilerinde kullanılabilir. Paket boyutu, bu değeri aşarsa, KDC, istemciye, TCP'YE geçme istekleri KRB_ERR_RESPONSE_TOO_BIG iletiye döndürür.

    Not MaxDatagramReplySize artırma parçalanmış Kerberos UDP paketlerini olasılığını artırabilir.

    Bu sorun hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    244474Kerberos, Windows UDP yerine TCP kullanmaya zorlamak için
  • Giriş: KdcExtraLogLevel
    Türü: REG_DWORD
    Varsayılan Değer: 2
    Olası değerler:
    • 1 (ondalık) veya <a1>0x1</a1> (onaltılık): denetim SPN Bilinmeyen hata.
    • 2 (ondalık) veya 0x2 (onaltılı): günlük PKINIT hataları. (PKINIT "Ortak anahtar şifrelemesi" için Kerberos kimlik doğrulama ilk. için bir ınternet Engineering Task Force (IETF) ınternet taslağı'dır)
    • 4 (ondalık) veya 0x4 (onaltılık): tüm KDC oturum hataları.
    • 8 (ondalık) veya <a1>0x8</a1> (onaltılık): günlük KDC S4U2Self bileti isteyen kullanıcının hedef kullanıcı yeterli erişim hakkınız yok, sistem günlüğüne Uyarı olay 25.
    • 16 (ondalık) veya <a1>0x10</a1> (onaltılık): şifreleme türü (ETYPE) ve hatalı seçenekleri hata günlüğü denetim olayları.
    Bu değer, KDC, olay günlükleri ve çok yazacaksınız hangi bilgilerin denetimleri belirtir.
  • Giriş: KdcDebugLevel
    Türü: REG_DWORD
    Varsayılan Değer: checked derlemesi için 1, 0'ın ücretsiz derlemesi için

    Bu değer, hata ayıklama günlüğü (1) olduğunu belirtir veya (0).

    Değer (onaltılık) 0x10000000 veya 268435456 (ondalık) ayarlı ise, belirli bir dosya veya satır bilgi KERB_ERRORS edata alanında bir KDC işleme hatası sırasında PKERB_EXT_ERROR hataları olarak döndürülür.

Özellikler

Makale numarası: 837361 - Last Review: 11 Nisan 2008 Cuma - Gözden geçirme: 5.3
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
Anahtar Kelimeler: 
kbmt kbwinservnetwork kbsecurityservices kbregistry kbinfo KB837361 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:837361

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com