Lístky Kerberos jsou vydávány Přestože časový rozdíl mezi hodinami klienta a řadiče domény je větší než hodnota "Maximální tolerance synchronizace hodin počítače"

ÚVOD

Tento článek popisuje chování, ve které Kerberos lístky jsou vydávány Přestože časový rozdíl mezi hodinami klienta a řadiče domény hodiny je větší než hodnota "Maximální tolerance synchronizace hodin počítače".

Předpokládejme například, že jste nakonfigurovali nastavení hodin počítače maximální tolerance synchronizace Zásady skupiny v prostředí domény. Řadič domény se systémem Windows Server 2003 může vydat lístek protokolu Kerberos do klientského počítače i v případě, že časový rozdíl mezi hodinami klienta a řadiče domény je větší než hodnota, která je nakonfigurována pro toto nastavení zásad skupiny.

Poznámka: Výchozí hodnota pro nastavení hodin počítače maximální tolerance synchronizace je pět minut.

Další informace

Jsou-li klientský počítač odešle časové razítko, jehož hodnota se liší od časové razítko serveru větší než zadaná hodnota, který jste nakonfigurovali v nastavení hodin počítače maximální tolerance synchronizace , řadič domény vrátí kód chyby "KRB_AP_ERR_SKEW" paket odpovědi. V tento paket obsahuje řadič domény také časové razítko vlastní hodin. Klientský počítač přijme paket, použije k výpočtu platný čas časové razítko řadič domény, jakož i hodnotu nastavení hodin počítače maximální tolerance synchronizace . Pak klientský počítač používá platný čas opakujte žádost. Na tento druhý pokus vydat lístek protokolu Kerberos v klientském počítači.

Toto chování je popsána v Request for Comments (RFC) 4430, "Kerberized Internet vyjednávání klíčů (KINK)." RFC 4430 naleznete následující požadavek na webovém serveru dokumentů RFC:Společnost Microsoft poskytuje kontaktní informace jiného výrobce, a tím vám usnadňuje získání technické podpory. Tyto kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft nezaručuje přesnost kontaktních informací jiných výrobců.


Pokud hodiny klientského počítače je rychlejší než čas řadiče domény plus doba platnosti lístku protokolu Kerberos, protokolu Kerberos lístku je neplatný. V tomto scénáři přihlášení se nezdaří.

Ve výchozím nastavení je doba platnosti lístku protokolu Kerberos 10 hodin (600 minut). Chcete-li změnit hodnotu životnosti, nakonfigurujte následující nastavení Zásady skupiny:
  • Počítač konfigurace a Windows nastavení zabezpečení nastavení/účet zásady/Zásady modulu Kerberos/vstupenek maximální provozní životnost
  • Počítač konfigurace a Windows nastavení zabezpečení nastavení/účet zásady/Zásady modulu Kerberos/vstupenek uživateli maximální životnost
Další informace o synchronizaci hodin počítače maximální tolerance pro počítač Zásady skupiny nastavení naleznete na následujícím webu společnosti Microsoft:
Vlastnosti

ID článku: 956627 - Poslední kontrola: 14. 1. 2017 - Revize: 1

Váš názor