Kerberos 票證所發出,雖然用戶端時鐘與網域控制站時鐘之間的時間誤差大於電腦時鐘同步處理的最大容錯度 」 值

文章翻譯 文章翻譯
文章編號: 956627 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

簡介

本文將告訴您,在哪些 Kerberos 票證所發出即使用戶端時鐘與網域控制站時鐘之間的時間誤差大於電腦時鐘同步處理的最大容錯度 」 值的行為。

比方說假設您已設定 電腦的最大容錯性時鐘同步處理 群組原則] 設定在網域環境中。Windows Server 2003 網域控制站可能發出 Kerberos 票證給用戶端電腦,即使用戶端時鐘與網域控制站時鐘之間的時間誤差超過針對此群組原則] 設定設定值。

附註電腦的最大容錯性時鐘同步處理] 設定預設值是 5 分鐘。

其他相關資訊

如果用戶端電腦會將其值不同的時間戳記伺服器 ’s 時間戳記的傳送不僅為您設定 電腦的最大容錯性時鐘同步處理] 設定中的值,網域控制站會傳回其回應封包中的 KRB_AP_ERR_SKEW"錯誤的程式碼。這個封包中網域控制站也包含它自己時鐘的時間戳記。當用戶端電腦收到此封包時,它使用時間戳記,網域控制站,以及與 電腦的最大容錯性時鐘同步處理] 設定值的計算有效的時間。然後,用戶端電腦會使用有效的時間來重試要求。這個第二個 try 上 Kerberos 票證會發出至用戶端電腦。

這種行為會詳細說明要求的註解 (RFC) 4430"Kerberized 網際網路交涉的索引鍵 (KINK) 」。若要查看 RFC 4430 請造訪下列要求註解 Web 站台:
ftp://ftp.rfc-editor.org/in-notes/rfc4430.txt
Microsoft 提供協力廠商連絡資訊可協助您尋找技術支援。此連絡人資訊若有變更恕不另行通知。Microsoft 不保證此第三方連絡資訊的正確性。

如果用戶端電腦的時鐘是網域控制站的時鐘時間加上 Kerberos 票證的存留期 (Lifetime) 比快,Kerberos 票證是無效的。在這種情況下登入失敗。

根據預設值,Kerberos 票證的存留期 (Lifetime) 會是 10 小時 (600 分鐘)。若要修改存留時間值,設定下列的 「 群組原則 」 設定值:
  • 電腦組態] / [Windows 設定/安全性設定/帳戶原則/Kerberos 原則/最大值服務票證存留期
  • 電腦組態] / [Windows 設定/安全性設定/帳戶原則/Kerberos 原則/最大使用者票證存留期
如需有關 電腦的最大容錯性時鐘同步處理 群組原則設定的詳細資訊,請造訪下列 Microsoft 網站]:
http://technet.microsoft.com/en-us/library/cc779260.aspx

屬性

文章編號: 956627 - 上次校閱: 2008年9月2日 - 版次: 1.1
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
關鍵字:?
kbmt kbexpertiseadvanced kbinfo KB956627 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:956627
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com