Несмотря на то, что разница во времени между клиентом часов и часов контроллер домена больше, чем значение «Максимальная погрешность синхронизации часов компьютера», выдаются билеты Kerberos

Переводы статьи Переводы статьи
Код статьи: 956627 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Введение эта ссылка может указывать на содержимое полностью или частично на английском языке

В данной статье описывается поведение, выдачи билетов Kerberos, который несмотря на то, что разница во времени между клиентом часов и часов контроллер домена больше, чем значение «Максимальная погрешность синхронизации часов компьютера».

Например, предположим, что настройкиМаксимальная погрешность синхронизации часов компьютераПараметр групповой политики в среде домена. Контроллер домена под управлением Windows Server 2003 может выдавать билет Kerberos на клиентском компьютере, несмотря на то, что разница во времени между клиентом часов и часов контроллер домена больше, чем значения, настроенные для данного параметра групповой политики.

Примечание.Значение по умолчаниюМаксимальная погрешность синхронизации часов компьютерапараметр — пять минут.

Дополнительная информация

Если клиентский компьютер отправляет штамп времени, значение которого отличается от сервера штампа времени, больше, чем значение, которое настроено вМаксимальная погрешность синхронизации часов компьютераУстановка, контроллер домена возвращает код ошибки "KRB_AP_ERR_SKEW" в пакет ответа. В этот пакет на контроллер домена также штамп времени собственной часов. Когда клиентский компьютер получает этот пакет, он использует отметки времени на контроллере домена, вместе со значениемМаксимальная погрешность синхронизации часов компьютераНастройка для расчета времени. Затем клиентский компьютер использует допустимое время повторить запрос. С этой второй попытки на клиентском компьютере выдается билет Kerberos.

Такое поведение, описанное в запрос для комментариев (RFC) 4430 «Kerberized Internet согласования ключей (KINK)». Для просмотра RFC 4430, посетите следующий запрос для комментариев веб-узла:
FTP://FTP.RFC-Editor.org/in-Notes/rfc4430.txt
Контактные данные независимых производителей предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку.. Эти данные могут быть изменены без предварительного уведомления.. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних производителей..

Если часы компьютера-клиента выполняется быстрее, чем времени на контроллере домена, а также срок жизни билета Kerberos, билет Kerberos является недопустимой. В этом случае происходит сбой входа в систему.

По умолчанию время жизни билета Kerberos является 10 часов (600 минут). Чтобы изменить значение времени жизни, настройте следующие параметры групповой политики:
  • Политика компьютера/Конфигурация Windows параметры и безопасность параметров и учетных записей политики/Kerberos/максимальный срок действия билета службы
  • Политика компьютера/Конфигурация Windows параметры и безопасность параметров и учетных записей политики/Kerberos/максимальный срок действия билета пользователя
Для получения дополнительных сведений оМаксимальная погрешность синхронизации часов компьютераГрупповой политике, посетите следующий веб-узел корпорации Майкрософт:
http://TechNet.Microsoft.com/en-us/library/cc779260.aspx

Свойства

Код статьи: 956627 - Последний отзыв: 29 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kbexpertiseadvanced kbinfo kbmt KB956627 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:956627

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com