يتم إصدار تذاكر Kerberos على الرغم من أن فرق التوقيت بين ساعة العميل وساعة وحدة التحكم بالمجال أكبر من قيمة "الحد الأقصى للتسامح مع تزامن ساعة الكمبيوتر"

مقدمة

توضح هذه المقالة السلوك الذي Kerberos التذاكر التي تصدر على الرغم من أن فرق التوقيت بين ساعة عميل وساعة وحدة تحكم بمجال أكبر من قيمة "الحد الأقصى للتسامح مع تزامن ساعة الكمبيوتر".

على سبيل المثال، افترض أنك قمت بتكوين إعداد "نهج المجموعة" مزامنة ساعة التسامح الحد الأقصى للكمبيوتر في بيئة مجال. وحدة تحكم مجال المستندة إلى Windows Server 2003 قد تصدر تذكرة Kerberos لكمبيوتر عميل حتى إذا كان فرق التوقيت بين ساعة العميل وساعة وحدة التحكم بالمجال أكبر من القيمة التي قمت بتكوينها لإعداد نهج المجموعة هذا.

ملاحظة: القيمة الافتراضية لهذا الإعداد الحد الأقصى للاختلاف للكمبيوتر مزامنة ساعة خمس دقائق.

مزيد من المعلومات

إذا أرسل كمبيوتر عميل طابع زمني قيمته يختلف عن الطابع الزمني الخاص بالخادم بأكثر من القيمة التي قمت بتكوينها في إعداد الحد الأقصى للاختلاف للكمبيوتر مزامنة ساعة ، إرجاع وحدة تحكم المجال رمز خطأ "KRB_AP_ERR_SKEW" في حزمة استجابة الخاص به. في هذه الحزمة تتضمن وحدة تحكم المجال أيضا طابع زمني على مدار الساعة الخاصة به. عندما يتلقى الكمبيوتر العميل هذه الحزمة، يستخدم الطابع الزمني لوحدة تحكم المجال جنبا إلى جنب مع قيمة إعداد الحد الأقصى للاختلاف للكمبيوتر مزامنة ساعة لحساب وقت صالح. وبعد ذلك، يستخدم الكمبيوتر العميل الوقت الصالح لإعادة محاولة الطلب. في هذه المحاولة الثانية، تم إصدار تذكرة Kerberos للكمبيوتر العميل.

تم توثيق هذا السلوك في طلب التعليقات (RFC) 4430، "إنترنت كيربيريزيد التفاوض مفاتيح (شبك)". لمشاهدة RFC 4430، زيارة طلب موقع "ويب التعليقات" التالية:توفر Microsoft معلومات الاتصال خارجية لمساعدتك في الحصول على الدعم التقني. قد تتغير معلومات جهة الاتصال هذه دون إشعار. لا تضمن Microsoft دقة معلومات جهة الاتصال لهذه الجهات الأخرى.


إذا كان أسرع من الوقت ساعة وحدة التحكم بالمجال بالإضافة إلى مدة بقاء تذكرة Kerberos ساعة جهاز الكمبيوتر العميل، تذكرة Kerberos غير صالح. في هذا السيناريو، يفشل تسجيل الدخول.

بشكل افتراضي، عمر تذكرة Kerberos 10 ساعات (600 دقيقة). لتعديل قيمة الحياة، قم بتكوين إعدادات "نهج المجموعة" التالية:
  • تكوين الكمبيوتر/Windows/إعدادات الأمان/إعدادات الحساب/نهج Kerberos نهج/خدمة الحد الأقصى عمر التذاكر
  • تكوين الكمبيوتر/Windows/إعدادات الأمان/إعدادات الحساب/نهج Kerberos نهج/البطاقة المستخدم الحد الأقصى عمر
لمزيد من المعلومات حول إعداد "نهج المجموعة" مزامنة ساعة التسامح الحد الأقصى للكمبيوتر ، قم بزيارة موقع Microsoft التالي على الويب:
خصائص

رقم الموضوع: 956627 - آخر مراجعة: 14‏/01‏/2017 - المراجعة: 1

تعليقات