Lístky Kerberos jsou vydávány Přestože časový rozdíl mezi hodinami klienta a řadiče domény je větší než hodnota "Maximální tolerance synchronizace hodin počítače"

Překlady článku Překlady článku
ID článku: 956627 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

ÚVOD

Tento článek popisuje chování, ve které Kerberos lístky jsou vydávány Přestože časový rozdíl mezi hodinami klienta a řadiče domény hodiny je větší než hodnota "Maximální tolerance synchronizace hodin počítače".

Předpokládejme například, že jste nakonfigurovali nastavení hodin počítače maximální tolerance synchronizace Zásady skupiny v prostředí domény. Řadič domény se systémem Windows Server 2003 může vydat lístek protokolu Kerberos do klientského počítače i v případě, že časový rozdíl mezi hodinami klienta a řadiče domény je větší než hodnota, která je nakonfigurována pro toto nastavení zásad skupiny.

Poznámka: Výchozí hodnota pro nastavení hodin počítače maximální tolerance synchronizace je pět minut.

Další informace

Pokud klientský počítač odešle časové razítko, jehož hodnota se liší od časového razítka serveru větší než zadaná hodnota, který jste nakonfigurovali v nastavení hodin počítače maximální tolerance synchronizace , řadič domény vrátí chybový kód "KRB_AP_ERR_SKEW" v paket odpovědi. V tento paket obsahuje řadič domény také časové razítko vlastní hodin. Když klientský počítač přijme paket, použije k výpočtu platný čas časového razítka a hodnotu nastavení Maximální tolerance pro počítač synchronizaci hodin počítače řadiče domény. Pak klientský počítač používá platný čas opakujte žádost. Na tento druhý pokus klientského počítače vydání lístku protokolu Kerberos.

Toto chování je popsána v Request for Comments (RFC) 4430, "Kerberized Internet vyjednávání klíčů (KINK). RFC 4430 naleznete následující požadavek na webovém serveru dokumentů RFC:
FTP://FTP.RFC-Editor.org/in-Notes/rfc4430.txt
Společnost Microsoft se vám snaží usnadnit získání technické podpory poskytnutím informací o kontaktech na jiné výrobce Tyto kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft neručí za přesnost kontaktních informací jiných dodavatelů.

Pokud hodiny klientského počítače je rychlejší než čas řadiče domény a platnosti lístku protokolu Kerberos, protokolu Kerberos ticket je neplatná. V tomto případě dojde k chybě přihlášení.

Ve výchozím nastavení je doba platnosti lístku protokolu Kerberos 10 hodin (600 minut). Chcete-li změnit hodnotu životnosti, nakonfigurujte následující nastavení Zásady skupiny:
  • Počítač konfigurace a Windows nastavení zabezpečení nastavení/účet zásady/Zásady modulu Kerberos/vstupenek maximální provozní životnosti
  • Počítač konfigurace a Windows nastavení zabezpečení nastavení/účet zásady/Zásady modulu Kerberos/vstupenek uživateli maximální životnost
Další informace o synchronizaci hodin počítače maximální tolerance pro počítač Zásady skupiny nastavení navštivte následující Web společnosti Microsoft:
http://technet.microsoft.com/en-us/library/cc779260.aspx

Vlastnosti

ID článku: 956627 - Poslední aktualizace: 29. března 2013 - Revize: 3.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
kbexpertiseadvanced kbinfo kbmt KB956627 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku: 956627

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com