أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

إدخالات التسجيل بروتوكول Kerberos ومفاتيح التكوين KDC في نظام التشغيل Windows Server 2003

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية837361
الموجز
تحتوي هذه المقالة على معلومات حول إدخالات السجل التي تتعلق بروتوكول مصادقة الإصدار الخامس من Kerberos في نظام التشغيل Windows Server 2003.
مقدمة
يكون Kerberos آلية مصادقة المستخدمة للتحقق من هوية المضيف أو المستخدم. Kerberos هو أسلوب مصادقة المفضل خدمات Windows Server 2003.

إذا كنت تقوم بتشغيل Windows Server 2003 يمكنك تعديل المعلمات Kerberos للمساعدة في استكشاف أخطاء وإصلاحها Kerberos مشكلات المصادقة أو لاختبار بروتوكول Kerberos. للقيام بذلك، قم بإضافة أو تعديل إدخالات السجل المسردة "مزيد من المعلومات" في المقطع.
معلومات أخرى
هام هذا المقطع أو أسلوب أو المهمة على خطوات إخبارك عن كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. ولذلك، يجب التأكد من اتبع الخطوات التالية بعناية. المضافة للحماية عمل نسخة احتياطية من السجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (ينتقل بك هذا الارتباط إلى صفحة قد يكون محتواها كله أو جزء منه باللغة الإنجليزية):
322756كيفية عمل نسخة احتياطية واستعادته في Windows
ملاحظة بعد الانتهاء من استكشاف الأخطاء وإصلاحها أو اختبار Kerberos في البروتوكول قم بإزالة أية إدخالات التسجيل التي قمت بإضافتها. وإلا، قد أن يتأثر أداء الكمبيوتر.

إدخالات التسجيل وقيم تحت مفتاح معلمات

يجب إضافة إدخالات السجل المسردة في هذا القسم إلى مفتاح التسجيل الفرعي التالي:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
ملاحظة إذا كان مفتاح معلمات غير مدرج ضمن Kerberos ، يجب إنشاء المفتاح.
  • الإدخال: SkewTime
    النوع: REG_DWORD
    القيمة الافتراضية: 5 (دقيقة)

    هذه القيمة هي الحد الأقصى لاختلاف الوقت التي يُسمح بين الكمبيوتر العميل والملقم يقبل Kerberos المصادقة. في نظام التشغيل Windows 2000 قبل الإصدار بناء SkewTime ساعتين القيمة الافتراضية.

    ملاحظة يتم استخدام إصدار بنية محددة من نظام التشغيل Windows في إنتاج بيئات الاختبار. (بناء محددة يُعرف أيضاً إصدار تصحيح.) يحتوي بناء محددة عدة تحسينات برنامج التحويل البرمجي إيقاف تشغيل. هذا نوع بنية التتبع يساعد سبب مشكلات في برنامج النظام. إنشاء قيد تشغيل العديد من عمليات التصحيح في نظام التشغيل البرمجية وفي برامج تشغيل النظام. تساعد هذه التدقيقات التصحيح قيد الإنشاء التعرف على حالات عدم تناسق داخلي أثناء حدوثها. إنشاء قيد أكبر وتكون أبطأ للتشغيل من أحد إصدارات Windows المستخدم النهائي.

    هو أحد إصدارات Windows المستخدم النهائي والتي تعرف أيضاً باسم إصدار بنية حرة أو إصدار البنية البيع بالتجزئة. في نسخة بناء حرة تتم إزالة معلومات التصحيح ثم اعتمد Windows مع تحسينات برنامج التحويل البرمجي الكامل. إصدار إنشاء حرة أسرع وتستخدم ذاكرة أقل من إصدار بنية التحقق منها.
  • الإدخال: LogLevel
    النوع: REG_DWORD
    القيمة الافتراضية: 0

    تشير هذه القيمة إلى ما إذا كان يتم تسجيل الأحداث في سجل أحداث النظام. إذا تم تعيين هذه القيمة إلى أي قيمة غير صفرية ، يتم تسجيل كافة الأحداث المتعلقة بـ Kerberos في سجل أحداث النظام.
  • الإدخال: MaxPacketSize
    النوع: REG_DWORD
    القيمة الافتراضية: 1465 (بايت)

    هذه القيمة هو "بروتوكول مخطط بيانات المستخدم" الحد الأقصى لحجم الحزمة (UDP). إذا تجاوز حجم الحزمة هذه القيمة, يتم استخدام TCP.
  • الإدخال: StartupTime
    النوع: REG_DWORD
    القيمة الافتراضية: 120 (ثواني)

    هذه القيمة هي الوقت الذي ينتظر Windows مركز توزيع المفاتيح (KDC) لبدء قبل يعطي Windows.
  • الإدخال: KdcWaitTime
    النوع: REG_DWORD
    القيمة الافتراضية: 10 (ثواني)

    هذه القيمة هي الوقت الذي ينتظر Windows استجابة KDC.
  • الإدخال: KdcBackoffTime
    النوع: REG_DWORD
    القيمة الافتراضية: 10 (ثواني)


    هذه القيمة هي الوقت بين الاستدعاءات المتتالية إلى KDC إذا فشل استدعاء سابق.
  • الإدخال: KdcSendRetries
    النوع: REG_DWORD
    القيمة الافتراضية: 3

    هذه القيمة هي عدد المرات التي سيقوم عميل بمحاولة الاتصال إلى KDC.
  • الإدخال: DefaultEncryptionType
    النوع: REG_DWORD
    القيمة الافتراضية: 23 (عشري) أو 0x17 (سداسي عشري)

    تشير هذه القيمة إلى نوع التشفير الافتراضية المصادقة المسبقة.
  • الإدخال: FarKdcTimeout
    النوع: REG_DWORD
    القيمة الافتراضية: 10 (دقيقة)

    هذا هو قيمة المهلة التي تُستخدم في وحدة تحكم مجال من موقع آخر في ذاكرة التخزين المؤقت وحدة تحكم المجال غير صالحة.
  • الإدخال: NearKdcTimeout
    النوع: REG_DWORD
    القيمة الافتراضية: 30 (دقيقة)

    هذا هو قيمة المهلة التي تُستخدم في وحدة تحكم مجال في الموقع نفسه في ذاكرة التخزين المؤقت وحدة تحكم المجال غير صالحة.
  • الإدخال: StronglyEncryptDatagram
    النوع: REG_BOOL
    القيمة الافتراضية: FALSE

    تتضمن هذه القيمة إشارة الإشارة إلى ما إذا كان يجب استخدام تشفير 128-بت رزم مخططات البيانات.
  • الإدخال: MaxReferralCount
    النوع: REG_DWORD
    القيمة الافتراضية: 6

    هذه القيمة هي عدد المراجع KDC pursues عميل قبل منح حقوق العميل لأعلى.
  • الإدخال: KerbDebugLevel
    النوع: REG_DWORD
    القيمة الافتراضية: 0xFFFFFFFF

    هذه القيمة هي قائمة العلامات التي تشير إلى النوع و طلب مستوى تسجيل التي. يمكن تجميعها هذا النوع من تسجيل الدخول على مستوى المكون Kerberos بواسطة أحادي المعامل أو واحد أو أكثر من وحدات الماكرو التي تم وصفها في الجدول التالي.
    اسم الماكروقيمةملاحظة
    deb_error0x00000001هذا هو الإعداد الافتراضي InfoLevel لـ للبنيات التحقق منها. ينتج هذا عن رسائل الخطأ عبر المكونات.
    deb_warn0x00000002ينشئ هذا الماكرو رسائل التحذير عبر المكونات. في بعض الحالات، يمكن تجاهل هذه الرسائل.
    deb_trace0x00000004يمكّن هذا الماكرو العامة تتبع الأحداث.
    deb_trace_api0x00000008يمكّن هذا الماكرو المستخدم API تتبع الأحداث التي سجلت عادةً على إدخال وعلى إنهاء دالة تم تصديرها خارجياً يتم تطبيق خلال SSPI.
    deb_trace_cred0x00000010يمكّن هذا الماكرو تتبع بيانات الاعتماد.
    deb_trace_ctxt0x00000020يمكّن هذا الماكرو تتبع السياق.
    deb_trace_lsess0x00000040يمكّن هذا الماكرو تتبع جلسة تسجيل الدخول.
    deb_trace_tcache0x00000080لم يتم تنفيذ
    deb_trace_logon0x00000100يمكّن هذا الماكرو تتبع تسجيل الدخول مثل في LsaApLogonUserEx2().
    deb_trace_kdc0x00000200يمكّن هذا الماكرو التتبع قبل وبعد استدعاءات KerbMakeKdcCall().
    deb_trace_ctxt20x00000400يمكّن هذا الماكرو تتبع السياق إضافية.
    deb_trace_time0x00000800يمكّن هذا الماكرو الوقت انحراف التتبع يتم العثور عليها في Timesync.cxx.
    deb_trace_user0x00001000يمكّن هذا الماكرو تتبع API المستخدم الذي يتم استخدامه مع DEB_TRACE_API ويتم الذي يوجد غالباً في Userapi.cxx.
    deb_trace_leaks0x00002000
    deb_trace_sock0x00004000يمكّن هذا الماكرو الأحداث المتعلقة بـ Winsock.
    deb_trace_spn_cache0x00008000يمكّن هذا الماكرو الأحداث التي تتعلق SPN ذاكرة التخزين المؤقت عدد مرات الدخول وعدد إخفاقات.
    deb_s4u_error0x00010000لم يتم تنفيذ
    deb_trace_s4u0x00020000
    deb_trace_bnd_cache0x00040000
    deb_trace_loopback0x00080000
    deb_trace_tkt_renewal0x00100000
    deb_trace_u2u0x00200000
    deb_trace_locks0x01000000
    deb_use_log_file0x02000000لم يتم تنفيذ
  • الإدخال: MaxTokenSize
    النوع: REG_DWORD
    القيمة الافتراضية: 12000 (عشري)

    هذه القيمة هي الحد الأقصى لقيمة Kerberos الرمز المميز. توصي شركة Microsoft تعيين هذه القيمة أقل من 65535.
  • الإدخال: SpnCacheTimeout
    النوع: REG_DWORD
    القيمة الافتراضية: 15 دقيقة

    هذه القيمة هي عمر إدخالات ذاكرة التخزين المؤقت لأسماء الخدمة الأساسي (SPN). تم تعطيل ذاكرة التخزين المؤقت SPN على وحدات تحكم المجال.
  • الإدخال: S4UCacheTimeout
    النوع: REG_DWORD
    القيمة الافتراضية: 15 دقيقة

    هذه القيمة هي عمر إدخالات ذاكرة التخزين المؤقت السالبة S4U المستخدمة لتقييد عدد طلبات وكيل S4U من كمبيوتر معين.
  • الإدخال: S4UTicketLifetime
    النوع: REG_DWORD
    القيمة الافتراضية: 15 دقيقة

    هذه القيمة هي عمر تذاكر الحصول على طلبات وكيل S4U.
  • الإدخال: RetryPdc
    النوع: REG_DWORD
    القيمة الافتراضية: 0 (false)
    القيم المحتملة: 0 (خطأ) أو أية قيمة غير الصفر (صواب)

    تشير هذه القيمة إلى ما إذا كان العميل بـ وحدة تحكم المجال الأساسية للحصول على طلبات خدمة مصادقة (AS_REQ) إذا تلقى العميل خطأ انتهاء صلاحية كلمة مرور.
  • الإدخال: RequestOptions
    النوع: REG_DWORD
    القيمة الافتراضية: القيمة 1510 RFC أي

    تشير هذه القيمة إلى ما إذا كان هناك خيارات إضافية يجب إرسال الخيارات KDC في "بطاقة خدمة منح" طلبات (TGS_REQ).
  • الإدخال: ClientIpAddress
    النوع: REG_DWORD
    الافتراضي القيمة: 0 (هذا الإعداد هو 0 لوجود مشكلات ترجمة عنوان الشبكة "و" بروتوكول تكوين المضيف الحيوي).
    القيم المحتملة: 0 (خطأ) أو أية قيمة غير الصفر (صواب)

    تشير هذه القيمة إلى ما إذا كان سيتم إضافة عنوان IP لعميل في AS_REQ لفرض الحقل Caddr أن تحتوي على عناوين IP في كافة تذاكر.
  • الإدخال: TgtRenewalTime
    النوع: REG_DWORD
    القيمة الافتراضية: 600 ثانية

    هذه القيمة هي الوقت الذي ينتظر خلاله Kerberos قبل محاولة تجديد على بطاقة منح البطاقة (TGT) قبل انتهاء صلاحية البطاقة.
  • الإدخال: AllowTgtSessionKey
    النوع: REG_DWORD
    القيمة الافتراضية: 0
    القيم المحتملة: 0 (خطأ) أو أية قيمة غير الصفر (صواب)

    تشير هذه القيمة إلى تصدير مفاتيح جلسات العمل مع الأولي أو مع عبر المجال TGT المصادقة. القيمة الافتراضية false لأسباب أمنية.

إدخالات التسجيل وقيم تحت مفتاح Kdc

يجب إضافة إدخالات السجل المسردة في هذا القسم إلى مفتاح التسجيل الفرعي التالي:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
ملاحظة إذا كان مفتاح Kdc مدرجة ضمن خدمات يجب إنشاء المفتاح.
  • الإدخال: KdcUseClientAddresses
    النوع: REG_DWORD
    القيمة الافتراضية: 0
    القيم المحتملة: 0 (خطأ) أو أية قيمة غير الصفر (حقيقي)

    تشير هذه القيمة إلى ما إذا كان سيتم على عناوين IP إضافة في منح بطاقة خدمة رد (TGS_REP).
  • الإدخال: KdcDontCheckAddresses
    النوع: REG_DWORD
    القيمة الافتراضية: 1
    القيم المحتملة: 0 (خطأ) أو أية قيمة غير الصفر (حقيقي)

    تشير هذه القيمة إلى ما إذا كان سيتم التحقق من TGS_REQ والحقل Caddr TGT عناوين IP.
  • الإدخال: NewConnectionTimeout
    النوع: REG_DWORD
    القيمة الافتراضية: 10 (ثواني)

    هذه القيمة هي الوقت الذي سيتم الاحتفاظ مفتوحة لاستقبال البيانات قبل أن يقطع اتصال اتصال نقطة نهاية TCP أولي.
  • الإدخال: MaxDatagramReplySize
    النوع: REG_DWORD
    القيمة الافتراضية: 1465 (عشري, بايت)

    هذه القيمة هي الحد الأقصى لحجم الحزمة UDP في TGS_REP ورسائل الردود خدمة مصادقة (AS_REP). إذا تجاوز حجم الحزمة هذه القيمة ، KDC إرجاع رسالة KRB_ERR_RESPONSE_TOO_BIG طلبات التبديل العميل إلى TCP.

    ملاحظة زيادة MaxDatagramReplySize قد يزيد احتمال تجزئة يتم حزم UDP Kerberos.

    لمزيد من المعلومات حول هذه المشكلة، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (ينتقل بك هذا الارتباط إلى صفحة قد يكون محتواها كله أو جزء منه باللغة الإنجليزية):
    244474كيفية فرض Kerberos لاستخدام TCP بدلاً من UDP في Windows
  • الإدخال: KdcExtraLogLevel
    النوع: REG_DWORD
    القيمة الافتراضية: 2
    القيم المحتملة:
    • 0x1 (سداسي عشري) أو 1 (عشري): SPN تدوين الأخطاء غير معروف.
    • 0x2 (سداسي عشري) أو 2 (عشري): PKINIT سجل الأخطاء. (PKINIT مسودة إنترنت مجموعة المهام الهندسية لإنترنت (IETF) لـ "العمومي مفتاح تشفير لمصادقة الأولي في Kerberos.")
    • 4 (عشري) أو 0x4 (سداسي عشري): تسجيل كافة KDC أخطاء.
    • 8 (عشري) أو 0x8 (سداسي عشري): KDC تسجيل حدث تحذير 25 في سجل النظام عند طلب S4U2Self تذكرة المستخدم ليس لديه وصول كاف إلى المستخدم الهدف.
    • 16 (عشري) أو 0x10 (سداسي عشري): تسجيل أحداث التدقيق على نوع تشفير (ETYPE) والأخطاء خيارات غير صالحة.
    تشير هذه القيمة إلى ما هي المعلومات التي سيتم كتابة KDC في سجلات الأحداث وإلى إلى معلومات التدقيق.
  • الإدخال: KdcDebugLevel
    النوع: REG_DWORD
    القيمة الافتراضية: 1 لـ قيد الإنشاء, 0 من أجل بناء الحرة

    تشير هذه القيمة إلى ما إذا كانت تسجيل التصحيح (1) أو إيقاف تشغيله (0).

    إذا تم تعيين القيمة 0x10000000 (سداسي عشري) أو 268435456 (العشرية) ، معلومات معينة في الملف أو خط سيتم إرجاع في الحقل edata KERB_ERRORS كأخطاء PKERB_EXT_ERROR أثناء فشل معالجة KDC.

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 837361 - آخر مراجعة: 04/11/2008 21:31:25 - المراجعة: 5.3

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbmt kbwinservnetwork kbsecurityservices kbregistry kbinfo KB837361 KbMtar
تعليقات
y: none; " src="https://c1.microsoft.com/c.gif?DI=4050&did=1&t=">body>>