KDC c?u h?nh phím trong Windows Server 2003 và m?c đăng k? giao th?c Kerberos

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 837361 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

TÓM T?T

Bài vi?t này ch?a thông tin v? m?c đăng k? có liên quan đ?n giao th?c Kerberos Phiên b?n 5 xác th?c trong Microsoft Windows Server 2003.

GI?I THI?U

Kerberos là m?t cơ ch? xác th?c đư?c s? d?ng đ? xác minh danh tính ngư?i dùng hay máy ch? lưu tr?. Kerberos là phương pháp ưa thích xác th?c cho các d?ch v? trong Windows Server 2003.

N?u b?n đang ch?y Windows Server năm 2003, b?n có th? s?a đ?i các thông s? Kerberos đ? giúp kh?c ph?c s? c? Kerberos các v?n đ? xác th?c ho?c đ? ki?m tra các giao th?c Kerberos. Đ? th?c hi?n vi?c này, thêm ho?c S?a đ?i các m?c đăng k? đư?c li?t kê trong các "More Information" keá tieáp.

THÔNG TIN THÊM

Quan tr?ng Ph?n, phương pháp ho?c nhi?m v? này ch?a các bư?c cho b?n bi?t làm th? nào đ? S?a đ?i s? đăng k?. Tuy nhiên, v?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i các cơ quan đăng k? không chính xác. V? v?y, h?y ch?c ch?n r?ng b?n làm theo các bư?c sau c?n th?n. Đ? b?o v? đư?c thêm vào, sao lưu s? đăng k? trư?c khi b?n s?a đ?i nó. Sau đó, b?n có th? khôi ph?c s? đăng k? n?u m?t v?n đ? x?y ra. Đ? bi?t thêm v? làm th? nào đ? sao lưu và khôi ph?c s? đăng k?, b?m vào bài vi?t sau đây s? đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
322756 Cách sao lưu và lưu tr? s? đăng kư trong Windows
Chú ý Sau khi b?n k?t thúc gi?i đáp th?c m?c ho?c th? nghi?m các Kerberos giao th?c, lo?i b? b?t k? m?c đăng k? b?n thêm. N?u không, hi?u su?t c?a máy tính c?a b?n có th? b? ?nh hư?ng.

M?c đăng k? và các giá tr? dư?i ch?a khóa các thông s?

M?c đăng k? đư?c li?t kê trong ph?n này ph?i đư?c thêm đ? đăng k? subkey sau đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Chú ý N?u đi?u quan tr?ng các tham s? không đư?c li?t kê dư?i Kerberos, b?n ph?i t?o khoá.
  • M?c: SkewTime
    Type: REG_DWORD
    M?c đ?nh giá tr?: 5 (phút)

    Giá tr? này là s? khác bi?t th?i gian t?i đa đư?c phép gi?a máy khách và h? ph?c v? đ? nh?n Kerberos xác th?c. Trong Windows 2000 ki?m tra xây d?ng phiên b?n, m?c đ?nh SkewTime giá tr? là 2 gi?.

    Chú ý M?t ki?m tra xây d?ng phiên b?n h? đi?u hành Windows đư?c s? d?ng trong s?n xu?t và th? nghi?m môi trư?ng. (M?t xây d?ng ki?m tra c?ng đư?c g?i là m?t Phiên b?n debug.) M?t xây d?ng ki?m tra có nhi?u t?i ưu hóa tr?nh biên d?ch đ? b? t?t. Đi?u này lo?i xây d?ng giúp d?u v?t nguyên nhân c?a v?n đ? trong h? th?ng ph?n m?m. Một ki?m tra xây d?ng b?t nhi?u ki?m tra g? l?i trong h? đi?u hành m? và trong các tr?nh đi?u khi?n h? th?ng. Các chi phi?u g? l?i giúp xây d?ng ki?m tra xác đ?nh mâu thu?n n?i b? ngay sau khi chúng x?y ra. M?t xây d?ng ki?m tra là l?n hơn và là ch?m hơn ch?y m?t phiên b?n ngư?i dùng cu?i c?a Windows.

    M?t ngư?i dùng cu?i Phiên b?n c?a Windows c?ng đư?c g?i là m?t phiên b?n mi?n phí xây d?ng ho?c bán l? xây d?ng Phiên b?n. Trong m?t phiên b?n mi?n phí xây d?ng, thông tin g? l?i đư?c lo?i b?, và c?a s? đư?c xây d?ng v?i tr?nh biên d?ch đ?y đ? t?i ưu. M?t phiên b?n mi?n phí xây d?ng là nhanh hơn và s? d?ng ít b? nh? hơn m?t ki?m tra xây d?ng phiên b?n.
  • M?c: LogLevel
    Type: REG_DWORD
    M?c đ?nh giá tr?: 0

    Giá tr? này ch? ra cho dù các s? ki?n đ? đăng trong s? ki?n h? th?ng đăng nh?p. N?u giá tr? này đư?c thi?t l?p đ? b?t k? giá tr? khác không, t?t c? các s? ki?n liên quan đ?n Kerberos đang đăng nh?p s? k? s? h? th?ng.
  • M?c: MaxPacketSize
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 1465 (byte)

    Giá tr? này là các t?i đa UDP Kích thư?c gói (UDP). N?u kích thư?c gói vư?t quá giá tr? này, TCP đư?c s? d?ng.
  • M?c: StartupTime
    Type: REG_DWORD
    Giá tr? m?c đ?nh: 120 (giây)

    Giá tr? này là th?i gian Windows ch? ch?a khóa Trung tâm phân ph?i (KDC) đ? b?t đ?u trư?c khi c?a s? cho.
  • M?c: KdcWaitTime
    Type: REG_DWORD
    Giá tr? m?c đ?nh: 10 (giây)

    Giá tr? này là th?i gian Windows ch? đ?i cho m?t ph?n ?ng t? KDC.
  • M?c: KdcBackoffTime
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 10 (giây)


    Giá tr? này là th?i gian gi?a k? ti?p các cu?c g?i đ?n KDC n?u các cu?c g?i trư?c đó không thành công.
  • M?c: KdcSendRetries
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 3

    Giá tr? này là s? l?n m?t khách hàng s? c? g?ng liên h? v?i m?t KDC.
  • M?c: DefaultEncryptionType
    Type: REG_DWORD
    Giaù tr? maëc ñ?nh: 23 (th?p phân) ho?c 0x17 (h? th?p l?c phân)

    Giá tr? này ch? ra lo?i m? hóa m?c đ?nh cho pre-authentication.
  • M?c: FarKdcTimeout
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 10 (phút)

    Đây là giá tr? time-out đư?c s? d?ng đ? invalidate b? ki?m soát mi?n t? m?t trang web khác nhau trong đi?u khi?n vùng b? nh? cache.
  • M?c: NearKdcTimeout
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 30 (phút)

    Đây là giá tr? time-out đư?c s? d?ng đ? invalidate b? ki?m soát mi?n trong cùng m?t trang trong b? đi?u khi?n tên mi?n b? nh? cache.
  • M?c: StronglyEncryptDatagram
    Lo?i: REG_BOOL
    M?c đ?nh giá tr?: sai

    Giá tr? này ch?a m?t lá c? cho bi?t cho dù s? d?ng m? hóa 128-bit cho các gói tin datagram.
  • M?c: MaxReferralCount
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 6

    Giá tr? này là s? KDC gi?i thi?u mà m?t khách hàng theo đu?i trư?c khi khách hàng s? cho.
  • M?c: KerbDebugLevel
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 0xFFFFFFFF

    Giá tr? này là danh sách các lá c? cho bi?t các lo?i h?nh và m?c đ? đăng nh?p mà đư?c yêu c?u. Lo?i đăng nh?p có th? đư?c thu th?p ? c?p thành ph?n c?a Kerberos b?i bit ho?c b?i m?t ho?c nhi?u các macro đư?c mô t? trong b?ng sau. Xin lưu ? m?t s? các bên dư?i đ?u ra đ?i h?i ph?i ki?m tra phiên b?n c?a kerberos.dll (ví d? DEB_TRACE_SPN_CACHE). N?u m?c đ? x? l? s? c? là c?n thi?t xin vui l?ng liên h? v?i h? tr? microsoft đ? đư?c tr? giúp.
    Thu g?n b?ng nàyBung r?ng b?ng này
    V? mô tênGiá trịChú ý
    DEB_ERROR0x00000001Đây là m?c đ?nh InfoLevel cho ki?m tra xây d?ng. Đi?u này t?o ra các thông báo l?i trên các thành ph?n.
    DEB_WARN0x00000002V? mô này t?o ra thông đi?p c?nh báo trên các thành ph?n. Trong m?t s? trư?ng h?p, các thông đi?p này có th? b? qua.
    DEB_TRACE0x00000004Này v? mô cho phép s? ki?n chung truy t?m.
    DEB_TRACE_API0x00000008Này v? mô cho phép ngư?i s? d?ng API truy t?m các s? ki?n thư?ng đ? đăng trên m?c nh?p và khi thoát đ? m?t ch?c năng đ? xu?t chuy?n ra bên ngoài mà đư?c th?c hi?n thông qua SSPI.
    DEB_TRACE_CRED0x00000010Này v? mô cho phép ch?ng cách d?.
    DEB_TRACE_CTXT0x00000020Này v? mô cho phép truy t?m b?i c?nh.
    DEB_TRACE_LSESS0x00000040Này v? mô cho phép đăng nh?p truy t?m phiên làm vi?c.
    DEB_TRACE_TCACHE0x00000080Không tri?n khai th?c hi?n
    DEB_TRACE_LOGON0x00000100Này v? mô cho phép đăng nh?p truy t?m như trong LsaApLogonUserEx2().
    DEB_TRACE_KDC0x00000200Này v? mô cho phép truy t?m trư?c và sau khi các cu?c g?i đ?n KerbMakeKdcCall().
    DEB_TRACE_CTXT20x00000400Này v? mô cho phép truy t?m thêm b?i c?nh.
    DEB_TRACE_TIME0x00000800Này v? mô cho phép th?i gian truy t?m skew có ngh?a là đư?c t?m th?y trong Timesync.cxx.
    DEB_TRACE_USER0x00001000Này v? mô cho phép ngư?i s? d?ng API truy t?m mà đư?c s? d?ng cùng v?i DEB_TRACE_API và đó là t?m th?y ch? y?u ? Userapi.cxx.
    DEB_TRACE_LEAKS0x00002000
    DEB_TRACE_SOCK0x00004000Này v? mô cho phép Winsock liên quan đ?n các s? ki?n.
    DEB_TRACE_SPN_CACHE0x00008000Này v? mô cho phép các s? ki?n có liên quan đ?n SPN b? nh? cache hits và b? l?.
    DEB_S4U_ERROR0x00010000Không tri?n khai th?c hi?n
    DEB_TRACE_S4U0x00020000
    DEB_TRACE_BND_CACHE0x00040000
    DEB_TRACE_LOOPBACK0x00080000
    DEB_TRACE_TKT_RENEWAL0x00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000Không tri?n khai th?c hi?n
  • M?c: MaxTokenSize
    Type: REG_DWORD
    Giá tr? m?c đ?nh: 12000 (Decimal)

    Giá tr? này là giá tr? t?i đa c?a các Kerberos m? thông báo. Microsoft khuy?n cáo r?ng b?n đ?t giá tr? này thành ít hơn 65535.
  • M?c: SpnCacheTimeout
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 15 phút

    Giá tr? này đư?c s? d?ng b?i h? th?ng khi đang d?n d?p d?ch v? chính tên (SPN) b? nh? cache m?c. Trên b? đi?u khi?n vùng, b? nh? cache SPN b? t?t. Khách hàng và máy ch? thành viên s? d?ng giá tr? này tu?i và d?n s?ch m?c tiêu c?c b? nh? cache (SPN không t?m th?y). Lưu ?: h?p l? SPN b? nh? cache m?c (i.e.not tiêu c?c b? nh? cache) s? không b? xóa sau 15 phút c?a sáng t?o. Tuy nhiên, SPNCacheTimeouvalue c?ng đư?c s? d?ng đ? gi?m b? nh? cache SPN đ?n m?t kích thư?c d? qu?n l? - khi b? nh? cache SPN đ?t t?i 350 m?c h? th?ng s? s? d?ng giá tr? này đ? nh?t rác / d?n d?p c? và không s? d?ng m?c.
  • M?c: S4UCacheTimeout
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 15 phút

    Giá tr? này là c? th?i gian tiêu c?c S4U b? nh? cache m?c đư?c s? d?ng đ? h?n ch? s? lư?ng S4U ?y quy?n yêu c?u t? m?t máy tính c? th?.
  • M?c: S4UTicketLifetime
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 15 phút

    Giá tr? này là c? th?i gian vé đư?c thu đư?c b?ng cách yêu c?u ?y quy?n S4U.
  • M?c: RetryPdc
    Type: REG_DWORD
    M?c đ?nh giá tr?: 0 (sai)
    Giá tr? có th?: 0 (sai) hay b?t k? giá tr? khác 0 (đúng)

    Giá tr? này ch? ra cho dù khách hàng s? liên l?c v?i chính đi?u khi?n vùng cho xác th?c d?ch v? yêu c?u (AS_REQ) n?u khách hàng nh?n đư?c m?t m?t kh?u h?t h?n l?i.
  • M?c: RequestOptions
    Type: REG_DWORD
    M?c đ?nh Giá tr?: B?t k? giá tr? RFC 1510

    Giá tr? này cho th?y cho dù có nh?ng tùy ch?n b? sung ph?i đư?c g?i như KDC tùy ch?n trong vé c?p gi?y d?ch v? yêu c?u (TGS_REQ).
  • M?c: ClientIpAddress
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 0 (cài đ?t này là 0 v? Dynamic Host Configuration Protocol và v?n m?ng đ?a ch? d?ch đ?.)
    Giá tr? có th?: 0 (sai) ho?c b?t k? khác không giá tr? (đúng)

    Giá tr? này ch? ra cho dù m?t đ?a ch? IP c?a khách hàng s? đư?c b? sung trong AS_REQ đ? bu?c các l?nh v?c Caddr có ch?a các đ?a ch? IP trong t?t c? các vé.
  • M?c: TgtRenewalTime
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 600 giây

    Giá tr? này là th?i gian mà Kerberos ch? đ?i trư?c khi nó c? g?ng đ? làm m?i m?t vé c?p vé (TGT) trư?c khi vé h?t h?n.
  • M?c: AllowTgtSessionKey
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 0
    Giá tr? có th?: 0 (sai) hay b?t k? giá tr? khác 0 (đúng)

    Giá tr? này ch? ra cho dù phiên phím đư?c xu?t kh?u v?i ban đ?u ho?c v?i băng qua l?nh v?c TGT xác th?c. Giá tr? m?c đ?nh là sai cho an ninh l? do.

M?c đăng k? và các giá tr? dư?i ch?a khóa Kdc

M?c đăng k? đư?c li?t kê trong ph?n này ph?i đư?c thêm đ? đăng k? subkey sau đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Chú ý N?u khoá Kdc không đư?c li?t kê theo d?ch v?, b?n c?n ph?i t?o các baám giö? phím.
  • M?c: KdcUseClientAddresses
    Type: REG_DWORD
    M?c đ?nh giá tr?: 0
    Giá tr? có th?: 0 (sai) hay b?t k? giá tr? khác không (đúng)

    Giá tr? này ch? ra cho dù các đ?a ch? IP s? đư?c thêm vào trong các Vé cho phép d?ch v? Reply (TGS_REP).
  • M?c: KdcDontCheckAddresses
    Type: REG_DWORD
    M?c đ?nh giá tr?: 1
    Giá tr? có th?: 0 (sai) hay b?t k? giá tr? khác không (đúng)

    Giá tr? này ch? ra cho dù IP đ?a ch? cho TGS_REQ và l?nh v?c TGT Caddr s? đư?c ki?m tra.
  • M?c: NewConnectionTimeout
    Type: REG_DWORD
    Giaù tr? maëc ñ?nh: 10 (giây)

    Giá tr? này là th?i gian mà m?t Ban đ?u TCP k?t n?i đi?m cu?i s? đư?c gi? m? nh?n d? li?u trư?c khi nó ng?t k?t n?i.
  • M?c: MaxDatagramReplySize
    Type: REG_DWORD
    Giaù tr? maëc ñ?nh: 1465 (th?p phân, byte)

    Giá tr? này là t?i đa UDP gói kích thư?c TGS_REP và xác th?c d?ch v? bài tr? l?i (AS_REP) tin nh?n. N?u kích thư?c gói vư?t quá giá tr? này, KDC tr? v? m?t KRB_ERR_RESPONSE_TOO_BIG tin nh?n mà yêu c?u khách hàng chuy?n sang TCP.

    Chú ý Tăng MaxDatagramReplySize có th? làm tăng các kh? năng c?a các gói tin Kerberos UDP b? phân m?nh.

    Đ? bi?t thêm thông tin v? v?n đ? này, Nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong Microsoft Ki?n th?c cơ b?n:
    244474Làm th? nào đ? bu?c Kerberos s? d?ng TCP thay v? UDP trong Windows
  • M?c: KdcExtraLogLevel
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 2
    Giá tr? có th?:
    • 1 (th?p phân) ho?c 0x1 (h? th?p l?c phân): ki?m toán SPN không r? l?i.
    • 2 (th?p phân) ho?c 0x2 (h? th?p l?c phân): đăng nh?p PKINIT l?i. (PKINIT là m?t d? th?o Internet Engineering Task Force (IETF) Internet cho "công c?ng» M?t m? khóa h?c cho ban đ?u xác th?c trong Kerberos.")
    • 4 (th?p phân) ho?c 0x4 (h? th?p l?c phân): đăng nh?p t?t c? các KDC l?i.
    • 8 (th?p phân) ho?c 0x8 (h? th?p l?c phân): s? ki?n c?nh báo Log KDC 25 trong đăng nh?p h? th?ng khi ngư?i dùng yêu c?u S4U2Self vé không có đ? quy?n truy nh?p cho m?c tiêu dùng.
    • 16 (th?p phân) hay 0x10 (h? th?p l?c phân): Nh?t k? s? ki?n ki?m toán trên m? hóa ki?u (ETYPE) và l?a ch?n x?u l?i.
    Giá tr? này ch? ra thông tin g? KDC s? vi?t thư cho b?n ghi s? ki?n và đ? ki?m toán.
  • M?c: KdcDebugLevel
    Type: REG_DWORD
    M?c đ?nh Giá tr?: 1 cho ki?m tra xây d?ng, 0 mi?n phí xây d?ng

    Giá tr? này ch? ra Xem g? l?i đăng nh?p là ngày (1) hoaëc taét (0).

    N?u giá tr? đư?c thi?t l?p đ? 0x10000000 (h? th?p l?c phân) ho?c 268435456 (th?p phân), t?p tin c? th? ho?c d?ng thông tin s? đư?c tr? l?i trong l?nh v?c edata KERB_ERRORS như PKERB_EXT_ERROR l?i trong m?t th?t b?i KDC ch? bi?n.

Thu?c tính

ID c?a bài: 837361 - L?n xem xét sau cùng: 12 Tháng Chín 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Service Pack 2
  • Microsoft Windows XP Service Pack 3
T? khóa: 
kbwinservnetwork kbsecurityservices kbregistry kbinfo kbmt KB837361 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:837361

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com