Kerberos-Tickets ausgestellt werden, obwohl der Zeitunterschied zwischen der Systemuhr des Clients und die Uhr des Domänencontrollers größer als der Wert "Max. Toleranz für die Synchronisation des Computertakts" ist

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 956627 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

EINFÜHRUNG

Dieser Artikel beschreibt Verhalten in welcher Kerberos-Tickets ausgestellt werden, obwohl der Zeitunterschied zwischen der Client- und einer Controlleruhr größer als der Wert "Max. Toleranz für die Synchronisation des Computertakts" ist.

Nehmen wir beispielsweise an, dass Sie die Max. Toleranz für die Computer Uhr Synchronisierung Gruppenrichtlinieneinstellung in einer Domänenumgebung konfiguriert haben. Windows Server 2003-Domänencontroller kann auf einem Clientcomputer ein Kerberos-Ticket ausstellen, obwohl der Zeitunterschied zwischen der Systemuhr des Clients und die Uhr des Domänencontrollers größer als der Wert ist, die Sie für diese Gruppenrichtlinieneinstellung konfiguriert.

Hinweis Der Standardwert für die Einstellung Max. Toleranz für die Computer Uhr Synchronisierung beträgt fünf Minuten.

Weitere Informationen

Wenn ein Clientcomputer einen Zeitstempel, dessen Wert unterscheidet sich, von dem der Zeitstempel des Servers durch mehr als der Wert, die Sie in der Einstellung Max. Toleranz für die Computer Uhr Synchronisierung konfiguriert sendet, gibt der Domänencontroller einen Fehlercode "KRB_AP_ERR_SKEW" in das Antwortpaket zurück. In diesem Paket auch der Domänencontroller einen Zeitstempel, der eine eigene Uhr. Wenn der Client-Computer dieses Paket empfängt, verwendet den Zeitstempel des Domänencontrollers zusammen mit dem Wert der Einstellung Max. Toleranz für die Computer Uhr Synchronisierung zur Berechnung der Gültigkeitsdauer. Anschließend verwendet der Client-Computer gültige Zeit, um den Vorgang zu wiederholen. Dieser zweite Versuch wird das Kerberos-Ticket an den Clientcomputer ausgegeben.

Dieses Verhalten wird im Request for Comments (RFC) 4430, "Kerberisiert Internet-Aushandlung von Schlüsseln (KNICK)" dokumentiert. RFC 4430, finden Sie auf die folgende Request for Comments-Website:
FTP://FTP.RFC-Editor.org/in-Notes/rfc4430.txt
Microsoft stellt Kontaktinformationen von Drittanbietern zur Verfügung, die Sie auf der Suche nach technischem Support unterstützen. Diese Kontaktinformationen können sich ohne vorherige Ankündigung ändern. Microsoft garantiert nicht die Richtigkeit dieser Kontaktinformationen von Drittanbietern.

Wenn die Uhr des Clientcomputers schneller als die Systemzeit des Domänencontrollers sowie die Lebensdauer des Kerberos-Ticket ist, ist das Kerberos-Ticket ungültig. In diesem Szenario schlägt die Anmeldung fehl.

Standardmäßig ist die Lebensdauer eines Kerberos-Tickets 10 Stunden (600 Minuten). Um die Gültigkeitsdauer ändern möchten, konfigurieren Sie die folgenden Gruppenrichtlinieneinstellungen:
  • Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien Kontorichtlinien/Kerberos Computerrichtlinie/maximale Service Ticket-Lebensdauer
  • Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien Kontorichtlinien/Kerberos Computerrichtlinie/maximale Benutzer Ticket-Lebensdauer
Weitere Informationen über die Gruppenrichtlinieneinstellung Max. Toleranz für die Computer Uhr Synchronisierung finden Sie auf der folgenden Microsoft-Website:
http://technet.Microsoft.com/en-us/library/cc779260.aspx

Eigenschaften

Artikel-ID: 956627 - Geändert am: Sonntag, 10. März 2013 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Keywords: 
kbexpertiseadvanced kbinfo kbmt KB956627 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 956627
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com