Windows Server 2003 中 Kerberos 通訊協定登錄項目與 KDC 組態金鑰。

文章翻譯 文章翻譯
文章編號: 837361 - 檢視此文章適用的產品。
重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必先備份登錄,並了解如何在發生問題時還原登錄。如需有關如何備份、還原及編輯登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Microsoft Windows 登錄說明
全部展開 | 全部摺疊

在此頁中

結論

本文將針對 Microsoft Windows Server 2003 中 Kerberos 第 5 版驗證通訊協定,提供其關聯之登錄項目的資訊。

簡介

Kerberos 是一項可用以驗證使用者或主機識別的驗證機制。Kerberos 是 Windows Server 2003 中的服務所慣用的驗證方法。

如果所執行的是 Windows Server 2003,可以修改 Kerberos 參數,以利進行 Kerberos 驗證問題的疑難排解或測試 Kerberos 通訊協定。如果要執行這項操作,請新增或修改<其他資訊>一節中所列的登錄項目。

其他相關資訊

警告 不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證可以解決因不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。

注意 在您完成 Kerberos 通訊協定的疑難排解或測試後,請移除所新增的任何登錄項目,否則可能會影響電腦效能。

Parameters 機碼下的登錄項目與值

本節所列的登錄項目皆須新增至下列登錄子機碼中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
注意 如果 Kerberos 下未列出 Parameters 機碼,則必須建立該機碼。
  • 項目:SkewTime
    類型:REG_DWORD
    預設值:5 (分鐘)

    此值為用戶端電腦與接受 Kerberos 驗證的伺服器之間所允許的時間差距上限。在 Windows 2000 檢查版本中,預設的 SkewTime 值為 2 小時。

    注意 檢查版本的 Windows 作業系統可用於生產環境與測試環境中(檢查版本也稱為偵錯版本)。檢查版本會關閉多項編譯器最佳化設定。這種版本有助於追蹤系統軟體問題的成因。檢查版本會開啟多項對作業系統程式碼與系統驅動程式的偵錯檢查。這些偵錯檢查可協助檢查版本即時識別內部所發生的不一致。與 Windows 一般使用者版本相比,檢查版本所佔空間較大而且執行速度較慢。

    Windows 一般使用者版本也稱為自由版本 (free build) 或零售版本 (retail-build)。自由版本中會移除偵錯資訊,並以完整的編譯器最佳化設定建置 Windows。與檢查版本相比,自由版本的速度較快,且所使用的記憶體較少。
  • 項目:LogLevel
    類型:REG_DWORD
    預設值:0

    此值表示是否將事件記錄在系統事件日誌中。如果此值設為任何非零的值,則所有與 Kerberos 相關的事件皆會記錄到系統事件日誌中。
  • 項目:MaxPacketSize
    類型:REG_DWORD
    預設值:1465 (位元組)

    此值為最大使用者資料包通訊協定 (UDP) 封包大小。如果封包大小超過此值,則會使用 TCP。
  • 項目:StartupTime
    類型:REG_DWORD
    預設值:120 (秒)

    此值為 Windows 在放棄前,等待金鑰發佈中心 (KDC) 啟動的時間。
  • 項目:KdcWaitTime
    類型:REG_DWORD
    預設值:10 (秒)

    此值為 Windows 等待 KDC 回應的時間。
  • 項目:KdcBackoffTime
    類型:REG_DWORD
    預設值:10 (秒)


    此值為呼叫 KDC 失敗後將間隔多少時間後再次呼叫。
  • 項目:KdcSendRetries
    類型:REG_DWORD
    預設值:3

    此值為用戶端將嘗試連絡 KDC 的次數。
  • 項目:DefaultEncryptionType
    類型:REG_DWORD
    預設值:23 (十進位) 或 0x17 (十六進位)

    此值表示預先驗證所使用的預設加密類型。
  • 項目:FarKdcTimeout
    類型:REG_DWORD
    預設值:10 (分鐘)

    此值為會讓網域控制站快取中來自不同站台的網域控制站失效的逾時值。
  • 項目:NearKdcTimeout
    類型:REG_DWORD
    預設值:30 (分鐘)

    此值為會讓網域控制站快取中位於相同站台的網域控制站失效的逾時值。
  • 項目:StronglyEncryptDatagram
    類型:REG_BOOL
    預設值:FALSE

    此值含有一個指出是否對資料包封包使用 128 位元加密的旗標。
  • 項目:MaxReferralCount
    類型:REG_DWORD
    預設值:6

    此值為用戶端在放棄之前所尋求的 KDC 轉介數。
  • 項目:KerbDebugLevel
    類型:REG_DWORD
    預設值:Windows Server 2003 的檢查版本為 1,Windows Server 自由版本為 0

    此值表示偵錯記錄為開啟 (1) 或關閉 (0)。
  • 項目:MaxTokenSize
    類型:REG_DWORD
    預設值:12000 (十進位)

    此值為 Kerberos 權杖的最大值。Microsoft 建議您將此值設為 65535 以下的值。
  • 項目:SpnCacheTimeout
    類型:REG_DWORD
    預設值:15 分鐘

    此值為服務主要名稱 (SPN) 快取項目的存留時間。網域控制站會停用 SPN 快取。
  • 項目:S4UCacheTimeout
    類型:REG_DWORD
    預設值:15 分鐘

    此值為 S4U 負值快取項目的存留時間,該項目可用以限制特定電腦所發出的 S4U Proxy 要求數。
  • 項目:S4UTicketLifetime
    類型:REG_DWORD
    預設值:15 分鐘

    此值為 S4U Proxy 要求所取得之票證的存留時間。
  • 項目:RetryPdc
    類型:REG_DWORD
    預設值:0 (False)
    可用的值:0 (false) 或任何非零值 (true)

    此值表示用戶端在收到密碼到期錯誤時,是否會連絡主要網域控制站以提出驗證服務要求 (AS_REQ)。
  • 項目:RequestOptions
    類型:REG_DWORD
    預設值:任何 RFC 1510 值

    此值表示是否有其他選項必須傳送為票證授權服務要求 (TGS_REQ) 中的 KDC 選項。
  • 項目:ClientIpAddress
    類型:REG_DWORD
    預設值:0 (此設定因動態主機設定通訊協定與網路位址轉譯問題而設為 0。)
    可用的值:0 (false) 或任何非零值 (true)

    此值表示用戶端 IP 位址是否會新增至 AS_REQ 中,以強制所有票證中的 Caddr 欄位皆需納入 IP 位址。
  • 項目:TgtRenewalTime
    類型:REG_DWORD
    預設值:600 (秒)

    此值為 Kerberos 在票證到期前,嘗試更新票證授權票證 (TGT) 前所等待的時間。
  • 項目:AllowTgtSessionKey
    類型:REG_DWORD
    預設值:0
    可用的值:0 (false) 或任何非零值 (true)

    此值表示工作階段金鑰會與初始還是跨領域 TGT 驗證一起匯出。基於安全性考量,此值預設為 false。

Kdc 機碼下的登錄項目與值

本節所列的登錄項目皆須新增至下列登錄子機碼中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
注意 如果 [Services] 下未列出 Kdc 機碼,則必須建立該機碼。
  • 項目:KdcUseClientAddresses
    類型:REG_DWORD
    預設值:0
    可用的值:0 (false) 或任何非零值 (true)

    此值表示 IP 位址是否會新增至票證授權服務回覆 (TGS_REP) 中。
  • 項目:KdcDontCheckAddresses
    類型:REG_DWORD
    預設值:1
    可用的值:0 (false) 或任何非零值 (true)

    此值表示是否會對 TGS_REQ 與 TGT Caddr 欄位檢查 IP 位址。
  • 項目:NewConnectionTimeout
    類型:REG_DWORD
    預設值:50 (秒)

    此值表示初始 TCP 終點連線在中斷連線前保持開啟以接收資料的時間。
  • 項目:MaxDatagramReplySize
    類型:REG_DWORD
    預設值:1465 (十進位位元組)

    此值為 TGS_REP 與驗證服務回覆 (AS_REP) 訊息中的最大 UDP 封包大小。如果封包大小超過此值,KDC 就會傳回 KRB_ERR_RESPONSE_TOO_BIG 訊息以要求用戶端切換為 TCP。
  • 項目:KdcExtraLogLevel
    類型:REG_DWORD
    預設值:2
    可用的值:
    • 1 (十進位) 或 0x1 (十六進位):稽核 SPN 未知錯誤。
    • 2 (十進位) 或 0x2 (十六進位):記錄 PKINIT 錯誤。(PKINIT 是「Kerberos 初始驗證之公開金鑰加密」的網際網路工程任務推動小組 (Internet Engineering Task Force,IETF) 網際網路草案)。
    • 4 (十進位) 或 0x4 (十六進位):記錄所有 KDC 錯誤。
    此值表示 KDC 將寫入至事件記錄檔及稽核檔的資訊。
  • 項目:KdcDebugLevel
    類型:REG_DWORD
    預設值:檢查版本為 1,自由版本為 0

    此值表示偵錯記錄為開啟 (1) 或關閉 (0)。

    如果此值設為 0x10000000 (十六進位) 或 268435456 (十進位),則會在 KDC 處理失敗時,在 KERB_ERRORS 的 edata 欄位中傳回特定檔案或文字行資訊形式的 PKERB_EXT_ERROR 錯誤。

屬性

文章編號: 837361 - 上次校閱: 2007年2月2日 - 版次: 4.2
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
關鍵字:?
kbinfo kbregistry kbsecurityservices kbwinservnetwork KB837361
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com