إدخالات التسجيل بروتوكول Kerberos ومفاتيح تكوين KDC في Windows

ينطبق على: Windows Server, version 1909 (Datacenter, Standard)Windows Server, version 1903Windows Server 2019, all versions

الملخص


تحتوي هذه المقالة علي معلومات حول إدخالات التسجيل التي تتعلق بروتوكول مصادقه الإصدار 5 Kerberos في Microsoft Windows.

مقدمة


Kerberos هو اليه مصادقه المستخدمة للتحقق من هويه المستخدم أو المضيف. Kerberos هو أسلوب المصادقة المفضل للخدمات في Windows.إذا كنت تقوم بتشغيل Windows ، يمكنك تعديل معلمات Kerberos للمساعدة في استكشاف مشكلات مصادقه Kerberos أو لاختبار بروتوكول Kerberos. للقيام بذلك ، أضافه أو تعديل إدخالات التسجيل المسرده في قسم "مزيد من المعلومات".

مزيد من المعلومات


هام يحتوي هذا القسم أو الطريقة أو المهمة على الخطوات التي توضح كيفية تعديل السجل. ومع ذلك، فقد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. ولذلك، يجب التأكد من اتباع الخطوات التالية بعناية. للحصول على حماية إضافية، قم بعمل نسخة احتياطية من السجل قبل تعديله. يمكنك بعد ذلك استعادة السجل في حالة حدوث أية مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows
ملاحظه بعد الانتهاء من استكشاف الأخطاء وإصلاحها أو اختبار بروتوكول Kerberos ، قم بازاله إيه إدخالات التسجيل التي تقوم بإضافتها. والا ، قد يتاثر أداء جهاز الكمبيوتر الخاص بك.

إدخالات التسجيل والقيم تحت مفتاح المعلمات

يجب أضافه إدخالات التسجيل المسرده في هذا المقطع إلى مفتاح التسجيل الفرعي التالي:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
ملاحظه إذا لم يتم سرد المفتاح معلمات ضمن Kerberos ، يجب عليك إنشاء المفتاح.
  • الدخول: وقت الانحراف النوع: REG_DWORD القيمة الافتراضية: 5 (دقائق) هذه القيمة هي الحد الأقصى للفرق الزمني المسموح به بين الكمبيوتر العميل والملقم الذي يقبل مصادقه Kerberos.
  • الإدخال: LogLevel النوع: REG_DWORD القيمة الافتراضية: 0 تشير هذه القيمة إلى ما إذا كان يتم تسجيل الاحداث في سجل احداث النظام. إذا تم تعيين هذه القيمة إلى اي قيمه غير صفريه ، يتم تسجيل كافة الاحداث المتعلقة ب Kerberos في سجل احداث النظام. ملاحظه قد تتضمن الاحداث التي تم تسجيلها إيجابيات false حيث العميل Kerberos أعاده المحاولات مع علامات طلب مختلفه ثم تنجح. لذلك ، لا تفترض ان لديك مشكله Kerberos عند مشاهده حدث تسجيل استنادا إلى هذا الاعداد. راجع KB262177 للحصول علي مزيد من المعلومات.
  • الإدخال: MaxPacketSize النوع: REG_DWORD القيمة الافتراضية: 1465 (بايت) هذه القيمة هي الحد الأقصى لحجم حزمه بروتوكول مخطط بيانات المستخدم (UDP). إذا تجاوز حجم الحزمة هذه القيمة ، يتم استخدام TCP. الاعداد الافتراضي لهذه القيمة في نظام التشغيل Windows Vista والإصدار الأحدث من Windows هو 0 ، لذلك لا يتم استخدام UDP أبدا من قبل عميل Kerberos Windows.
  • الدخول: ستارتوبتيمي النوع: REG_DWORD القيمة الافتراضية: 120 (ثانيه) هذه القيمة هي الوقت الذي ينتظره Windows لمركز التوزيع الرئيسي (KDC) للبدء قبل ان يعطي Windows.
  • الدخول: كدكويتتايم النوع: REG_DWORD القيمة الافتراضية: 10 (ثواني) هذه القيمة هي الوقت الذي ينتظره Windows للحصول علي استجابه من KDC.
  • الدخول: KdcBackoffTime النوع: REG_DWORD القيمة الافتراضية: 10 (ثواني) هذه القيمة هي الوقت بين المكالمات المتتابعة إلى KDC إذا فشل الاستدعاء السابق.
  • الإدخال: KdcSendRetries محاولات النوع: REG_DWORD القيمة الافتراضية: 3 هذه القيمة هي عدد المرات التي سيحاول العميل الاتصال ب KDC.
  • الإدخال: ديفديتينكريتيونتينوع النوع: REG_DWORD تشير هذه القيمة إلى نوع التشفير الافتراضي للمصادقة المسبقة. القيمة الافتراضية هي RC4 23 (عشري) أو 0x17 (سداسي عشري) عند الرغبة في استخدام AES ، قم بتعيين القيمة إلى ما يلي: aes256--cts--sha1--96:18 أو 0x12 aes128-------------------sha1--96:17 أو 0x11 تشير هذه القيمة إلى نوع التشفير الافتراضي للمصادقة المسبقة.
  • الإدخال: FarKdcTimeout النوع: REG_DWORD القيمة الافتراضية: 10 (دقائق) هذه هي قيمه المهلة التي يتم استخدامها لابطال وحده تحكم مجال من موقع آخر في ذاكره التخزين المؤقت وحده تحكم المجال.
  • الإدخال: قرب Kdctimeout النوع: REG_DWORD القيمة الافتراضية: 30 (دقيقه) هذه هي قيمه المهلة التي يتم استخدامها لابطال وحده تحكم مجال في نفس الموقع في ذاكره التخزين المؤقت وحده تحكم المجال.
  • الدخول: سترونجلينكريبتداتاجرام النوع: REG_BOOL القيمة الافتراضية: FALSE تحتوي هذه القيمة علي علامة تشير إلى ما إذا كان سيتم استخدام تشفير 128 بت لحزم مخطط البيانات.
  • الإدخال: ماكراسترركونت النوع: REG_DWORD القيمة الافتراضية: 6 هذه القيمة هي عدد الإحالات KDC التي يتابعها عميل قبل ان يتخلى العميل.
  • الدخول: كيرديجليفل النوع: REG_DWORD القيمة الافتراضية: 0xFFFFFFFF هذه القيمة هي قائمه من العلامات التي تشير إلى نوع ومستوي التسجيل المطلوب. يمكن جمع هذا النوع من التسجيل علي مستوي المكون من Kerberos بواسطة أحادي أو بواسطة واحد أو أكثر من وحدات الماكرو الموضحة في الجدول التالي. الرجاء ملاحظه بعض الإخراج أدناه يتطلب الإصدار المحدد من kerberos .dll (علي سبيل المثال DEB_TRACE_SPN_CACHE). إذا كان هذا المستوي من استكشاف الأخطاء وإصلاحها مطلوبا الرجاء الاتصال بدعم microsoft للحصول علي المساعدة.
    اسم الماكرو قيمه ملاحظة
    DEB_ERROR 0x00000001 هذا هو الافتراضية السجلات للبناءات المحددة. ينتج عن هذا رسائل خطا عبر المكونات.
    DEB_WARN 0x00000002 ينشئ هذا الماكرو رسائل تحذير عبر المكونات. في بعض الحالات ، يمكن تجاهل هذه الرسائل.
    DEB_TRACE 0x00000004 يتيح هذا الماكرو احداث التتبع العامة.
    DEB_TRACE_API 0x00000008 يتيح هذا الماكرو المستخدم تتبع API الاحداث التي يتم عاده تسجيل الدخول وعند الإنهاء إلى داله تصدير خارجيا التي يتم تنفيذها من خلال SSPI.
    DEB_TRACE_CRED 0x00000010 يتيح هذا الماكرو تتبع بيانات الاعتماد.
    DEB_TRACE_CTXT 0x00000020 يتيح هذا الماكرو تتبع السياق.
    DEB_TRACE_LSESS 0x00000040 يتيح هذا الماكرو تتبع جلسة عمل تسجيل الدخول.
    DEB_TRACE_TCACHE 0x00000080 لم تنفذ
    DEB_TRACE_LOGON 0x00000100 يتيح هذا الماكرو تتبع تسجيل الدخول مثل في LsaApLogonUserEx2 ().
    DEB_TRACE_KDC 0x00000200 يتيح هذا الماكرو التتبع قبل وبعد المكالمات إلى كيرمككدكبال ().
    DEB_TRACE_CTXT2 0x00000400 يتيح هذا الماكرو تتبع سياق اضافيه.
    DEB_TRACE_TIME 0x00000800 يتيح هذا الماكرو الوقت انحراف التتبع التي تم العثور عليها في تيسينك. cxx.
    DEB_TRACE_USER 0x00001000 هذا الماكرو تمكين تتبع API المستخدم المستخدمة مع DEB_TRACE_API والتي تم العثور علي معظمها في Userapi. cxx.
    DEB_TRACE_LEAKS 0x00002000  
    DEB_TRACE_SOCK 0x00004000 يتيح هذا الماكرو الاحداث المتعلقة ب Winsock.
    DEB_TRACE_SPN_CACHE 0x00008000 يتيح هذا الماكرو الاحداث المتعلقة بالوصول إلى ذاكره التخزين المؤقت SPN ويفتقد.
    DEB_S4U_ERROR 0x00010000 لم تنفذ
    DEB_TRACE_S4U 0x00020000  
    DEB_TRACE_BND_CACHE 0x00040000  
    DEB_TRACE_LOOPBACK 0x00080000  
    DEB_TRACE_TKT_RENEWAL 0x00100000  
    DEB_TRACE_U2U 0x00200000  
    DEB_TRACE_LOCKS 0x01000000  
    DEB_USE_LOG_FILE 0x02000000 لم تنفذ
  • الإدخال: ماكتوكاكسيزي النوع: REG_DWORD القيمة الافتراضية: 12000 (عشري). بدء تشغيل Windows Server 2012 وويندوز 8 ، القيمة الافتراضية هي 48000. هذه القيمة هي القيمة القصوى للرمز المميز Kerberos. توصي Microsoft بتعيين هذه القيمة إلى اقل من 65535. لمزيد من المعلومات ، راجع KB327825.
  • الإدخال: SpnCacheTimeout النوع: REG_DWORD القيمة الافتراضية: 15 دقيقه يتم استخدام هذه القيمة بواسطة النظام عند حذف إدخالات ذاكره التخزين المؤقت أسماء الخدمة الاساسيه (SPN). علي وحدات التحكم بالمجال ، يتم تعطيل ذاكره التخزين المؤقت SPN. عملاء والملقمات الأعضاء استخدام هذه القيمة إلى العمر وأزاله إدخالات ذاكره التخزين المؤقت السالبة (لم يتم العثور علي SPN). ملاحظه: لا يتم حذف إدخالات ذاكره التخزين المؤقت SPN صالحه (الذاكرة المؤقتة غير السالبة) بعد 15 دقيقه من الإنشاء. ومع ذلك ، يتم أيضا استخدام Spncاتشيتيميميوتالقيمه لتقليل ذاكره التخزين المؤقت SPN إلى حجم يمكن التحكم فيها-عندما يصل ذاكره التخزين المؤقت SPN إلى إدخالات 350 النظام سيستخدم هذه القيمة لمسح/تنظيف الإدخالات القديمة وغير المستخدمة.
  • تاريخ الدخول: S4UCacheTimeout النوع: REG_DWORD القيمة الافتراضية: 15 دقيقه هذه القيمة هي عمر إدخالات ذاكره التخزين المؤقت السالبة S4U التي يتم استخدامها لتقييد عدد طلبات الوكيل S4U من كمبيوتر معين.
  • تاريخ الدخول: S4UTicketLifetime النوع: REG_DWORD القيمة الافتراضية: 15 دقيقه هذه القيمة هي عمر التذاكر التي يتم الحصول عليها بواسطة طلبات الوكيل S4U.
  • الدخول: ريتريدك النوع: REG_DWORD القيمة الافتراضية: 0 (false) القيم الممكنة: 0 (false) أو اي قيمه غير صفريه (true) تشير هذه القيمة إلى ما إذا كان سيتم الاتصال العميل وحده تحكم المجال الاساسيه "طلبات خدمه مصادقه" (AS_REQ) إذا تلقي العميل خطا انتهاء صلاحيه كلمه مرور.
  • الإدخال: خيارات الطالب النوع: REG_DWORD القيمة الافتراضية: اي قيمه 1510 RFC تشير هذه القيمة إلى ما إذا كانت هناك خيارات اضافيه يجب إرسالها كخيارات KDC في طلبات "خدمه منح التذاكر" (TGS_REQ).
  • الإدخال: ClientIpAddress النوع: REG_DWORD القيمة الافتراضية: 0 (هذا الاعداد هو 0 بسبب "بروتوكول تكوين المضيف الحيوي" ومشاكل ترجمه عنوان الشبكة.) القيم الممكنة: 0 (false) أو اي قيمه غير صفريه (true) تشير هذه القيمة إلى ما إذا كان سيتم أضافه عنوان IP عميل في AS_REQ لفرض الحقل Caddr لاحتواء عناوين IP في كافة التذاكر.
  • الدخول: تجترينيوالتيمي النوع: REG_DWORD القيمة الافتراضية: 600 ثانيه هذه القيمة هي الوقت الذي ينتظره Kerberos قبل ان يحاول تجديد تذكره منح التذاكر (TGT) قبل انتهاء صلاحيه البطاقة.
  • الإدخال: اللوتيتسيسيسيوكي النوع: REG_DWORD القيمة الافتراضية: 0 القيم الممكنة: 0 (false) أو اي قيمه غير صفريه (true) تشير هذه القيمة إلى ما إذا كان يتم تصدير مفاتيح جلسة العمل مع الاوليه أو مع المصادقة TGT المجال المتقاطع. القيمة الافتراضية غير صحيحه لأسباب تتعلق بالأمان. ملاحظه مع "الحرس بيانات الاعتماد" النشطة في Windows 10 والإصدارات الأحدث من Windows ، لا يمكنك تمكين مشاركه مفاتيح جلسة العمل TGT مع التطبيقات بعد الآن. لمزيد من المعلوماتية ، راجع KB308339 .

إدخالات التسجيل والقيم تحت مفتاح Kdc

يجب أضافه إدخالات التسجيل المسرده في هذا المقطع إلى مفتاح التسجيل الفرعي التالي:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
ملاحظه إذا لم يتم سرد مفتاح Kdc ضمن خدمات يجب عليك إنشاء المفتاح.
  • الدخول: العناوين النوع: REG_DWORD القيمة الافتراضية: 0 القيم الممكنة: 0 (false) أو اي قيمه غير صفريه (true) تشير هذه القيمة إلى ما إذا كان سيتم أضافه عناوين IP في "رد خدمه منح التذاكر" (TGS_REP).
  • الإدخال: العناوين الخاصة ب Kdcdontتشيك النوع: REG_DWORD القيمة الافتراضية: 1 القيم الممكنة: 0 (false) أو اي قيمه غير صفريه (true) تشير هذه القيمة إلى ما إذا كان سيتم التحقق من عناوين IP الخاصة ب TGS_REQ والحقل TGT Caddr.
  • الإدخال: نيوكونيكتيتيميوت النوع: REG_DWORD القيمة الافتراضية: 10 (ثواني) هذه القيمة هي الوقت الذي سيتم فيه الاحتفاظ باتصال نقطه نهاية TCP الاولي مفتوحا لتلقي البيانات قبل قطعها.
  • الإدخال: ماكداتاجاراريريسيزي النوع: REG_DWORD القيمة الافتراضية: 1465 (عشري ، بايت) هذه القيمة هي الحد الأقصى لحجم الحزمة UDP في رسائل TGS_REP والردود خدمه المصادقة (AS_REP). إذا تجاوز حجم الحزمة هذه القيمة ، تقوم KDC بإرجاع رسالة KRB_ERR_RESPONSE_TOO_BIG التي تطلب من العميل التبديل إلى TCP. ملاحظه زيادة MaxDatagramReplySize قد يزيد من احتمال تجزئه حزم UDP Kerberos. لمزيد من المعلومات حول هذه المشكلة ، انقر فوق رقم المقالة التالي لعرض المقالة في قاعده معارف Microsoft:
    244474 كيفيه فرض Kerberos لاستخدام TCP بدلا من UDP في Windows
  • الدخول: KdcExtraLogLevel النوع: REG_DWORD القيمة الافتراضية: 2 القيم المحتملة:
    • 1 (عشري) أو 0x1 (سداسي عشري): تدقيق SPN أخطاء غير معروفه.
    • 2 (عشري) أو 0x2 (سداسي عشري): أخطاء PKINIT السجل. (PKINIT هو "الإنترنت هندسه المهام" (IETF) مشروع إنترنت ل "تشفير المفتاح العمومي للمصادقة الاوليه في Kerberos.")
    • 4 (عشري) أو 0x4 (سداسي عشري): تسجيل كافة أخطاء KDC.
    • 8 (عشري) أو 0x8 (سداسي عشري): سجل التحذير KDC 25 في سجل النظام عندما يسال المستخدم عن تذكره S4U2Self ليس لديه الوصول الكافي إلى المستخدم الهدف.
    • 16 (عشري) أو 0x10 (سداسي عشري): سجل احداث التدقيق علي نوع التشفير (النموذج) وأخطاء الخيارات السيئة.
    تشير هذه القيمة إلى المعلومات التي ستكتبها KDC إلى سجلات الاحداث والي عمليات التدقيق.
  • الدخول: كدكديجليفل النوع: REG_DWORD القيمة الافتراضية: 1 للبناء المحدد ، 0 للبناء الحر تشير هذه القيمة إلى ما إذا كان تسجيل التصحيح علي (1) أو إيقاف (0). إذا تم تعيين القيمة إلى 0x10000000 (سداسي عشري) أو 268435456 (عشري) ، سيتم إرجاع معلومات الملف أو الخط المحددة في حقل edata من KERB_ERRORS كاخطاء PKERB_EXT_ERROR اثناء فشل معالجه KDC.