Bilhetes Kerberos são emitidos mesmo que a diferença de tempo entre o relógio do cliente e o relógio do controlador de domínio seja superior ao valor de "Tolerância máxima para sincronização de relógios do computador do"

Traduções de Artigos Traduções de Artigos
Artigo: 956627 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

INTRODUÇÃO

Este artigo descreve o comportamento em que Kerberos permissões são emitidas Apesar de é superior ao valor de "Tolerância máxima para sincronização de relógios do computador do" a diferença entre um relógio de cliente e um relógio de controlador de domínio.

Por exemplo, suponha que configurou a definição de política de grupo de sincronização de relógios Tolerância máxima para o computador num ambiente de domínio. Um controlador de domínio baseado no Windows Server 2003 pode emitir uma permissão Kerberos para um computador cliente, mesmo que a diferença de tempo entre o relógio do cliente e o relógio do controlador de domínio seja mais do que o valor configurado para esta definição de política de grupo.

Nota O valor predefinido para a definição de sincronização de relógios Tolerância máxima para o computador é cinco minutos.

Mais Informação

Se um computador cliente envia um carimbo de hora cujo valor é diferente do carimbo de data ?s servidor por mais do que o valor que configurou na definição de sincronização de relógios Tolerância máxima para o computador , o controlador de domínio devolve um código de erro "KRB_AP_ERR_SKEW" no respectivo pacote de resposta. Este pacote, o controlador de domínio também inclui um carimbo de data do seu próprio relógio. Quando o computador cliente recebe este pacote, utiliza o carimbo de data do controlador de domínio em conjunto com o valor da definição da sincronização de relógios Tolerância máxima para o computador para calcular a hora válida. Em seguida, o computador cliente utiliza a hora válida para repetir o pedido. Nesta segunda tentativa, o Kerberos é emitido para o computador cliente.

Este comportamento é documentado no Request for Comments (RFC) 4430, "Kerberized Internet negociação de chaves (KINK)". Para ver 4430 RFC, visite o seguinte pedido para comentários site:
ftp://ftp.rfc-editor.org/in-notes/rfc4430.txt
Microsoft fornece informações de contactos outros fabricantes para ajudar a encontrar suporte técnico. Poderá ser alterado estas informações de contacto sem aviso prévio. Microsoft não garante a precisão destas informações de contacto outros fabricantes.

Se o relógio do computador cliente é mais rápido do que a hora do relógio do controlador de domínio e a duração de Kerberos, o Kerberos é inválido. Neste cenário, o início de sessão falha.

Por predefinição, a duração de uma permissão Kerberos é de 10 horas (600 minutos). Para modificar o valor de duração, configure as seguintes definições de política de grupo:
  • computador Configuration/Windows Settings/segurança/conta políticas/Kerberos política/máximo duração da permissão de serviço
  • computador Configuration/Windows Settings/segurança/conta políticas/Kerberos política/máximo utilizador permissão de duração
Para obter mais informações sobre a definição de política de grupo de sincronização de relógios Tolerância máxima para o computador , visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/library/cc779260.aspx

Propriedades

Artigo: 956627 - Última revisão: 2 de setembro de 2008 - Revisão: 1.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kbexpertiseadvanced kbinfo KB956627 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 956627

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com