Entradas del registro del protocolo Kerberos y claves de configuración de KDC en Windows
En este artículo se describen las entradas del Registro sobre el protocolo de autenticación Kerberos versión 5 y la configuración del Centro de distribución de claves (KDC).
Se aplica a: Windows 11, Windows 10, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Número de KB original: 837361
Resumen
Kerberos es un mecanismo de autenticación que se usa para comprobar la identidad de usuario o host. Kerberos es el método de autenticación preferido para los servicios de Windows.
Si ejecuta Windows, puede modificar los parámetros de Kerberos para ayudar a solucionar problemas de autenticación Kerberos o para probar el protocolo Kerberos. Para ello, agregue o modifique las entradas del Registro que aparecen en las secciones siguientes.
Importante
Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.
Nota:
Una vez que haya terminado de solucionar problemas o probar el protocolo Kerberos, quite las entradas del Registro que agregue. De lo contrario, el rendimiento del equipo puede verse afectado.
Entradas y valores del Registro en la clave Parameters
Las entradas del Registro que aparecen en esta sección se deben agregar a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nota:
Si la clave Parameters no aparece en Kerberos, debe crear la clave.
Entrada: SkewTime
Tipo: REG_DWORD
Valor predeterminado: 5 (minutos)
Este valor es la diferencia de tiempo máxima que se permite entre el equipo cliente y el servidor que acepta la autenticación Kerberos o el KDC.
Nota:
SkewTime se tiene en cuenta en la determinación de la validez del vale kerberos para su reutilización. Un vale se considera expirado si el tiempo de expiración es menor que la hora actual + SkewTime. Por ejemplo, si skewtime se establece en 20 minutos y la hora actual es 08:00, cualquier vale con una hora de expiración antes de las 08:20 se considerará expirado.
Entrada: LogLevel
Tipo: REG_DWORD
Valor predeterminado: 0
Este valor indica si los eventos se registran en el registro de eventos del sistema. Si este valor se establece en cualquier valor distinto de cero, todos los eventos relacionados con Kerberos se registran en el registro de eventos del sistema.
Nota:
Los eventos registrados pueden incluir falsos positivos en los que el cliente Kerberos reintenta con diferentes marcas de solicitud que, a continuación, se completan correctamente. Por lo tanto, no suponga que tiene un problema de Kerberos cuando vea que se ha registrado un evento en función de esta configuración. Para obtener más información, vea How to enable Kerberos event logging .
Entrada: MaxPacketSize
Tipo: REG_DWORD
Valor predeterminado: 1465 (bytes)
Este valor es el tamaño máximo de paquete del Protocolo de datagramas de usuario (UDP). Si el tamaño del paquete supera este valor, se usa TCP.
El valor predeterminado para este valor en Windows Vista y la versión posterior de Windows es 0, por lo que el cliente Kerberos de Windows nunca usa UDP.
Entrada: StartupTime
Tipo: REG_DWORD
Valor predeterminado: 120 (segundos)
Este valor es el tiempo que Windows espera a que el KDC se inicie antes de que Windows se resguarde.
Entrada: KdcWaitTime
Tipo: REG_DWORD
Valor predeterminado: 10 (segundos)
Este valor es el tiempo que Windows espera una respuesta de un KDC.
Entrada: KdcBackoffTime
Tipo: REG_DWORD
Valor predeterminado: 10 (segundos)
Este valor es el tiempo entre llamadas sucesivas al KDC si se produjo un error en la llamada anterior.
Entrada: KdcSendRetries
Tipo: REG_DWORD
Valor predeterminado: 3
Este valor es el número de veces que un cliente intentará ponerse en contacto con un KDC.
Entrada: DefaultEncryptionType
Tipo: REG_DWORD
Este valor indica el tipo de cifrado predeterminado para la autenticación previa. El valor predeterminado para RC4 es 23 (decimal) o 0x17 (hexadecimal)
Cuando quiera usar AES, establezca el valor en uno de los siguientes valores:
- aes256-cts-hmac-sha1-96: 18 o 0x12
- aes128-cts-hmac-sha1-96: 17 o 0x11
Este valor indica el tipo de cifrado predeterminado para la autenticación previa.
Entrada: FarKdcTimeout
Tipo: REG_DWORD
Valor predeterminado: 10 (minutos)
Es el valor de tiempo de espera que se usa para invalidar un controlador de dominio de un sitio diferente en la caché del controlador de dominio.
Entrada: NearKdcTimeout
Tipo: REG_DWORD
Valor predeterminado: 30 (minutos)
Es el valor de tiempo de espera que se usa para invalidar un controlador de dominio en el mismo sitio en la caché del controlador de dominio.
Entrada: StronglyEncryptDatagram
Tipo: REG_BOOL
Valor predeterminado: FALSE
Este valor contiene una marca que indica si se debe usar el cifrado de 128 bits para los paquetes de datagramas.
Entrada: MaxReferralCount
Tipo: REG_DWORD
Valor predeterminado: 6
Este valor es el número de referencias de KDC que un cliente busca antes de que el cliente se deseste.
Entrada: MaxTokenSize
Tipo: REG_DWORD
Valor predeterminado: 12000 (decimal). A partir de Windows Server 2012 y Windows 8, el valor predeterminado es 48000.
Este valor es el valor máximo del token kerberos. Microsoft recomienda establecer este valor en menos de 65535. Para obtener más información, consulte Problemas con la autenticación Kerberos cuando un usuario pertenece a muchos grupos.
Entrada: SpnCacheTimeout
Tipo: REG_DWORD
Valor predeterminado: 15 minutos
El sistema usa este valor al purgar entradas de caché de nombres de entidad de seguridad de servicio (SPN). En los controladores de dominio, la caché de SPN está deshabilitada. Los clientes y los servidores miembros usan este valor para eliminar la antigüedad y purgar las entradas de caché negativas (no se encontró SPN). Las entradas de caché de SPN válidas (por ejemplo, no la caché negativa) no se eliminan después de 15 minutos de creación. Sin embargo, el valor SPNCacheTimeout también se usa para reducir la memoria caché de SPN a un tamaño administrable: cuando la caché de SPN alcanza las 350 entradas, el sistema usará este valor para
scavenge / cleanupentradas antiguas y no utilizadas.
Entrada: S4UCacheTimeout
Tipo: REG_DWORD
Valor predeterminado: 15 minutos
Este valor es la duración de las entradas de caché negativaS4U que se usan para restringir el número de solicitudes de proxy S4U de un equipo determinado.
Entrada: S4UTicketLifetime
Tipo: REG_DWORD
Valor predeterminado: 15 minutos
Este valor es la duración de los vales obtenidos por las solicitudes de proxy S4U.
Entrada: RetryPdc
Tipo: REG_DWORD
Valor predeterminado: 0 (false)
Valores posibles: 0 (false) o cualquier valor distinto de cero (true)
Este valor indica si el cliente se pondrá en contacto con el controlador de dominio principal para las solicitudes de servicio de autenticación (AS_REQ) si el cliente recibe un error de expiración de contraseña.
Entrada: RequestOptions
Tipo: REG_DWORD
Valor predeterminado: cualquier valor RFC 1510
Este valor indica si hay más opciones que se deben enviar como opciones de KDC en solicitudes del servicio de concesión de vales (TGS_REQ).
Entrada: ClientIpAddresses
Tipo: REG_DWORD
Valor predeterminado: 0 (esta configuración es 0 debido a problemas de traducción de direcciones de red y protocolo de configuración dinámica de host).
Valores posibles: 0 (false) o cualquier valor distinto de cero (true)
Este valor indica si se agregará una dirección IP de cliente en AS_REQ para forzar que el
Caddrcampo contenga direcciones IP en todos los vales.
Entrada: TgtRenewalTime
Tipo: REG_DWORD
Valor predeterminado: 600 segundos
Este valor es el tiempo que Kerberos espera antes de intentar renovar un vale de concesión de vales (TGT) antes de que expire el vale.
Entrada: AllowTgtSessionKey
Tipo: REG_DWORD
Valor predeterminado: 0
Valores posibles: 0 (false) o cualquier valor distinto de cero (true)
Este valor indica si las claves de sesión se exportan con la autenticación TGT inicial o entre dominios. El valor predeterminado es false por motivos de seguridad.
Nota:
Con Credential Guard activo en Windows 10 y versiones posteriores de Windows, ya no puede habilitar el uso compartido de las claves de sesión de TGT con las aplicaciones.
Entradas y valores del Registro en la clave Kdc
Las entradas del Registro que aparecen en esta sección se deben agregar a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Nota:
Si la clave Kdc no aparece en Servicios, debe crear la clave.
Entrada: KdcUseClientAddresses
Tipo: REG_DWORD
Valor predeterminado: 0
Valores posibles: 0 (false) o cualquier valor distinto de cero (true)
Este valor indica si las direcciones IP se agregarán en la respuesta del servicio de Ticket-Granting (TGS_REP).
Entrada: KdcDontCheckAddresses
Tipo: REG_DWORD
Valor predeterminado: 1
Valores posibles: 0 (false) o cualquier valor distinto de cero (true)
Este valor indica si se comprobarán las direcciones IP del TGS_REQ y el campo TGT
Caddr.
Entrada: NewConnectionTimeout
Tipo: REG_DWORD
Valor predeterminado: 10 (segundos)
Este valor es el tiempo que se mantendrá abierta una conexión de punto de conexión TCP inicial para recibir datos antes de desconectarse.
Entrada: MaxDatagramReplySize
Tipo: REG_DWORD
Valor predeterminado: 1465 (decimal, bytes)
Este valor es el tamaño máximo de paquetes UDP en TGS_REP y mensajes de respuesta del servicio de autenticación (AS_REP). Si el tamaño del paquete supera este valor, el KDC devuelve un mensaje "KRB_ERR_RESPONSE_TOO_BIG" que solicita que el cliente cambie a TCP.
Nota:
El aumento de MaxDatagramReplySize puede aumentar la probabilidad de que los paquetes UDP de Kerberos se fragmenten.
Para obtener más información sobre este problema, vea Cómo forzar a Kerberos a usar TCP en lugar de UDP en Windows.
Entrada: KdcExtraLogLevel
Tipo: REG_DWORD
Valor predeterminado: 2
Posibles valores:
- 1 (decimal) o 0x1 (hexadecimal): audite los errores de SPN desconocidos en el registro de eventos de seguridad. El identificador de evento 4769 se registra con una auditoría con errores.
- 2 (decimal) o 0x2 (hexadecimal): registrar errores PKINIT. Esto registra un identificador de evento de advertencia de KDC 21 (habilitado de forma predeterminada) en el registro de eventos del sistema. PKINIT es un borrador de Internet del Grupo de tareas de ingeniería de Internet (IETF) para criptografía de clave pública para la autenticación inicial en Kerberos.
- 4 (decimal) o 0x4 (hexadecimal): registre todos los errores de KDC. Esto registra un identificador de evento 24 de KDC (ejemplo de problemas necesarios de U2U) en el registro de eventos del sistema.
- 8 (decimal) o 0x8 (hexadecimal): registre un identificador de evento de advertencia de KDC 25 en el registro del sistema cuando el usuario que solicita el vale S4U2Self no tenga acceso suficiente al usuario de destino.
- 16 (decimal) o 0x10 (hexadecimal): registrar eventos de auditoría en el tipo de cifrado (ETYPE) y errores de opciones incorrectas. Este valor indica qué información escribirá el KDC en los registros de eventos y en las auditorías del registro de eventos de seguridad. El identificador de evento 4769 se registra con una auditoría con errores.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de