Você está offline; aguardando reconexão

Bilhetes Kerberos são emitidos mesmo que a diferença de tempo entre o relógio do cliente e o relógio do controlador de domínio seja superior ao valor de "Tolerância máxima para sincronização de relógios do computador do"

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de Abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 956627
INTRODUÇÃO
Este artigo descreve o comportamento em que Kerberos permissões são emitidas Apesar de é superior ao valor de "Tolerância máxima para sincronização de relógios do computador do" a diferença entre um relógio de cliente e um relógio de controlador de domínio.

Por exemplo, suponha que configurou a definição de política de grupo de sincronização de relógios Tolerância máxima para o computador num ambiente de domínio. Um controlador de domínio baseado no Windows Server 2003 pode emitir uma permissão Kerberos para um computador cliente, mesmo que a diferença de tempo entre o relógio do cliente e o relógio do controlador de domínio seja mais do que o valor configurado para esta definição de política de grupo.

Nota O valor predefinido para a definição de sincronização de relógios Tolerância máxima para o computador é cinco minutos.
Mais Informação
Se um computador cliente envia um carimbo de hora cujo valor é diferente do carimbo de data ’s servidor por mais do que o valor que configurou na definição de sincronização de relógios Tolerância máxima para o computador , o controlador de domínio devolve um código de erro "KRB_AP_ERR_SKEW" no respectivo pacote de resposta. Este pacote, o controlador de domínio também inclui um carimbo de data do seu próprio relógio. Quando o computador cliente recebe este pacote, utiliza o carimbo de data do controlador de domínio em conjunto com o valor da definição da sincronização de relógios Tolerância máxima para o computador para calcular a hora válida. Em seguida, o computador cliente utiliza a hora válida para repetir o pedido. Nesta segunda tentativa, o Kerberos é emitido para o computador cliente.

Este comportamento é documentado no Request for Comments (RFC) 4430, "Kerberized Internet negociação de chaves (KINK)". Para ver 4430 RFC, visite o seguinte pedido para comentários site:Microsoft fornece informações de contactos outros fabricantes para ajudar a encontrar suporte técnico. Poderá ser alterado estas informações de contacto sem aviso prévio. Microsoft não garante a precisão destas informações de contacto outros fabricantes.

Se o relógio do computador cliente é mais rápido do que a hora do relógio do controlador de domínio e a duração de Kerberos, o Kerberos é inválido. Neste cenário, o início de sessão falha.

Por predefinição, a duração de uma permissão Kerberos é de 10 horas (600 minutos). Para modificar o valor de duração, configure as seguintes definições de política de grupo:
  • computador Configuration/Windows Settings/segurança/conta políticas/Kerberos política/máximo duração da permissão de serviço
  • computador Configuration/Windows Settings/segurança/conta políticas/Kerberos política/máximo utilizador permissão de duração
Para obter mais informações sobre a definição de política de grupo de sincronização de relógios Tolerância máxima para o computador , visite o seguinte Web site da Microsoft:

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 956627 - Última Revisão: 09/02/2008 17:52:42 - Revisão: 1.1

Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows XP Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition

  • kbmt kbexpertiseadvanced kbinfo KB956627 KbMtpt
Comentários