Windows Server 2003 中的 Kerberos 协议注册表项和 KDC 配置项

文章翻译 文章翻译
文章编号: 837361 - 查看本文应用于的产品
重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在出现问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
展开全部 | 关闭全部

本文内容

概要

本文包含有关 Microsoft Windows Server 2003 中与 Kerberos 版本 5 身份验证协议相关的注册表项信息。

简介

Kerberos 是用于验证用户或主机标识的身份验证机制。Kerberos 是针对 Windows Server 2003 中的服务的首选身份验证方法。

如果您运行的是 Windows Server 2003,可以修改 Kerberos 参数,以帮助解决 Kerberos 身份验证问题或测试 Kerberos 协议。为此,请添加或修改“更多信息”一节中列出的注册表项。

更多信息

警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

注意:解决完 Kerberos 协议的问题或测试完该协议后,请删除添加的所有注册表项。否则,计算机的性能可能受到影响。

Parameters 项下的注册表项和值

本节中列出的注册表项必须添加到以下注册表子项中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
注意:如果 Kerberos 下未列出 Parameters 项,则必须创建该项。
  • 项:SkewTime
    类型:REG_DWORD
    默认值:5(分钟)

    此值是客户端计算机与接受 Kerberos 身份验证的服务器之间允许的最大时间差。在 Windows 2000 已检验版本中,默认 SkewTime 值为 2 小时。

    注意:Windows 操作系统已检验版本用于生产和测试环境中。(已检验版本也称为调试版本。)已检验版本将许多编译器优化项关闭。此类内部版本可帮助跟踪系统软件中问题的原因。已检验版本在操作系统代码和系统驱动程序中打开许多调试检查。这些调试检查将帮助已检验版本在出现内部不一致时快速确定这些问题。与 Windows 的最终用户版本相比,已检验版本较大,而且运行起来较慢。

    Windows 的最终用户版本也称为无调试信息版本或零售版本。在无调试信息版本中,删除了调试信息,并使用全面的编译器优化项对 Windows 进行构建。与已检验版本相比,无调试信息版本速度较快,使用的内存较少。
  • 项:LogLevel
    类型:REG_DWORD
    默认值:0

    此值指示是否在系统事件日志中记录事件。如果此值设置为任何非零值,则会在系统事件日志中记录与 Kerberos 相关的事件。
  • 项:MaxPacketSize
    类型:REG_DWORD
    默认值:1465(字节)

    此值是用户数据报协议 (UDP) 数据包的最大大小。如果数据包大小超过此值,则使用 TCP。
  • 项:StartupTime
    类型:REG_DWORD
    默认值:120(秒)

    此值是 Windows 等待密钥发行中心 (KDC) 启动的最长时间,超过此时间后,Windows 将放弃等待。
  • 项:KdcWaitTime
    类型:REG_DWORD
    默认值:10(秒)

    此值是 Windows 等待 KDC 响应的时间。
  • 项:KdcBackoffTime
    类型:REG_DWORD
    默认值:10(秒)


    此值是在前一调用失败的情况下等待对 KDC 的后续调用的时间。
  • 项:KdcSendRetries
    类型:REG_DWORD
    默认值:3

    此值是客户端尝试与 KDC 联系的次数。
  • 项:DefaultEncryptionType
    类型:REG_DWORD
    默认值:23(十进制)或 0x17(十六进制)

    此值指示预身份验证的默认加密类型。
  • 项:FarKdcTimeout
    类型:REG_DWORD
    默认值:10(分钟)

    这是用于使来自域控制器高速缓存中另一个站点的域控制器失效的超时值。
  • 项:NearKdcTimeout
    类型:REG_DWORD
    默认值:30(分钟)

    这是用于使来自域控制器高速缓存中同一个站点的域控制器失效的超时值。
  • 项:StronglyEncryptDatagram
    类型:REG_BOOL
    默认值:FALSE

    此值包含一个标志,用于指示是否对数据报数据包使用 128 位加密。
  • 项:MaxReferralCount
    类型:REG_DWORD
    默认值:6

    这是客户端搜索的最大 KDC 引用数,达到此数后,客户端将放弃搜索。
  • 项:KerbDebugLevel
    类型:REG_DWORD
    默认值:对于 Windows Server 2003 已检验版本,该值为 1;对于 Windows Server 无调试信息版本,该值为 0

    此值指示调试记录是处于打开 (1) 还是关闭 (0) 状态。
  • 项:MaxTokenSize
    类型:REG_DWORD
    默认值:12000(十进制)

    此值是 Kerberos 令牌的最大值。Microsoft 建议您将此值设置为小于 65535。
  • 项:SpnCacheTimeout
    类型:REG_DWORD
    默认值:15 分钟

    此值是服务主体名称 (SPN) 高速缓存项的有效期。在域控制器上,SPN 高速缓存被禁用。
  • 项:S4UCacheTimeout
    类型:REG_DWORD
    默认值:15 分钟

    此值是用于限制来自特定计算机的 S4U 代理请求数的 S4U 负高速缓存项的有效期。
  • 项:S4UTicketLifetime
    类型:REG_DWORD
    默认值:15 分钟

    此值是 S4U 代理请求获得的票证的有效期。
  • 项:RetryPdc
    类型:REG_DWORD
    默认值:0 (false)
    可能值:0 (false) 或非零值 (true)

    此值指示客户端在收到密码过期错误时是否与主域控制器联系,以进行身份验证服务请求 (AS_REQ)。
  • 项:RequestOptions
    类型:REG_DWORD
    默认值:任意 RFC 1510 值

    此值指示票证授予服务请求 (TGS_REQ) 中是否有必须作为 KDC 选项发送的其他选项。
  • 项:ClientIpAddress
    类型:REG_DWORD
    默认值:0(由于动态主机配置协议和网络地址转换问题,此设置为 0。)
    可能值:0 (false) 或非零值 (true)

    此值指示是否在 AS_REQ 中添加客户端 IP 地址,以强制 Caddr 字段在所有票证中包含 IP 地址。
  • 项:TgtRenewalTime
    类型:REG_DWORD
    默认值:600 秒

    此值指示 Kerberos 在等待多长时间后尝试续订票证授予票证 (TGT) 以防止该票证过期。
  • 项:AllowTgtSessionKey
    类型:REG_DWORD
    默认值:0
    可能值:0 (false) 或非零值 (true)

    此值指示是使用初始 TGT 身份验证还是使用跨领域 TGT 身份验证导出会话密钥。出于安全原因,默认值为 false。

Kdc 项下的注册表项和值

本节中列出的注册表项必须添加到以下注册表子项中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
注意:如果 Services 下未列出 Kdc 项,则必须创建该项。
  • 项:KdcUseClientAddresses
    类型:REG_DWORD
    默认值:0
    可能值:0 (false) 或非零值 (true)

    此值指示是否在票证授予服务响应 (TGS_REP) 中添加 IP 地址。
  • 项:KdcDontCheckAddresses
    类型:REG_DWORD
    默认值:1
    可能值:0 (false) 或非零值 (true)

    此值指示是否检查 TGS_REQ 和 TGT Caddr 字段的 IP 地址。
  • 项:NewConnectionTimeout
    类型:REG_DWORD
    默认值:50(秒)

    此值是初始 TCP 端点连接在断开之前保持打开以接收数据的时间。
  • 项:MaxDatagramReplySize
    类型:REG_DWORD
    默认值:1465(十进制,字节)

    此值是 TGS_REP 和身份验证服务响应 (AS_REP) 消息中 UDP 数据包的最大大小。如果数据包大小超过此值,则 KDC 返回一条 KRB_ERR_RESPONSE_TOO_BIG 消息,请求客户端切换到 TCP。
  • 项:KdcExtraLogLevel
    类型:REG_DWORD
    默认值:2
    可能值:
    • 1(十进制)或 0x1(十六进制):审核 SPN 未知错误。
    • 2(十进制)或 0x2(十六进制):记录 PKINIT 错误。(PKINIT 是 Internet 工程任务小组 (IETF) 针对“Public Key Cryptography for Initial Authentication in Kerberos”(Kerberos 中初始身份验证的公钥密码)制定的一份 Internet 草案。)
    • 4(十进制)或 0x4(十六进制):记录所有 KDC 错误。
    此值指示 KDC 会将哪些信息写入事件日志和审核。
  • 项:KdcDebugLevel
    类型:REG_DWORD
    默认值:对于已检验版本,该值为 1;对于无调试信息版本,该值为 0

    此值指示调试记录是处于打开 (1) 还是关闭 (0) 状态。

    如果该值设置为 0x10000000(十六进制)或 268435456(十进制),则在 KDC 处理失败期间在 KERB_ERRORS 的 edata 字段中以 PKERB_EXT_ERROR 错误的形式返回特定文件或行信息。

属性

文章编号: 837361 - 最后修改: 2007年2月2日 - 修订: 4.2
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
关键字:?
kbinfo kbregistry kbsecurityservices kbwinservnetwork KB837361
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com