Windows 2000'de Kerberos yönetimi

ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.

232179
Bu makale arşivlenmiştir. "Olduğu gibi" sunulmaktadır ve bundan sonra güncelleştirilmeyecektir.
Özet
Kerberos kimlik doğrulama iletişim kuralı, Windows 2000 uygulama kapsamlı bir yönetim veya yapılandırma gerektirmez. Varsayılan kimlik doğrulama paketi olduğundan, tüm Microsoft Windows 2000 tabanlı bilgisayarlarda otomatik olarak yüklenir. Dışında akıllı kartlar, Kerberos normal olarak otomatik bir süreçtir ve bunu ayarlamak için gerekli değildir. Kerberos için uygulanan birkaç ilke seçenekleri vardır. Ağ izleyicisi'nin yerleşik bir Çözümleyicisi vardır ve çoğu Kerberos trafiği şifreli olduğu için izlemeler çok revealing ve bu nedenle değil çok kullanışlı değildir. Bu makalede, Kerberos iletişim kuralı yönetimini açıklar.
Daha fazla bilgi
Kerberos Yönetim için iki yardımcı program bulunmaktadır: KerbTray ve NetDom.

KerbTray

KerbTray bilet Kerberos iletişim kuralı'nı çalıştıran bir bilgisayarın bilgilerini görüntülemek için kullanılır. KerbTray simgesi (görev çubuğunun sağ tarafındaki) sistem tepsisinde yer alan ve bilet önbelleğini temizlemek için kullanılabilir. KerbTray kullanmak için <a0></a0>, simgeyi sağ tıklatın ve Liste anahtarları veya Bilet Temizle'yi tıklatın. Bilet önbelleğini görüntülerken, aşağıdaki bayraklar FLAGS sütuna eşleştirilir:
  • F forwardable =
  • f = iletilen
  • P proxiable =
  • p proxy üzerinden =
  • D Mayıs = postdate
  • d = postdated
  • i geçersiz =
  • R yenilenemez =
  • BANA ilk =
  • H donanım kimliği =
  • Pre-Authenticated a =
  • M = temsilci olarak Tamam

Bilet bayrak Varsayılanları

  • TGT (ilk listelenen bilet) veya bilet Ticket Granting: FPRI (Forwardable Proxiable, Renewable ve Başlangıç).
  • Oturum biletleri (ikinci ve üçüncü listelenen biletleri) için: FPR (Forwardable Proxiable ve Renewable).

NetDom

NetDom sunucularına sunucular ve iş istasyonlarına sunucuları arasındaki güvenli kanalları işlemek için bir kaynak seti aracıdır. Windows 2000'de, NetDom etki alanı sunucuları ve güven ilişkileri için denetleyen bir araçtır. Ayrıca, Kerberos geçişli güvenler sıfırlamak için izin vermek için değiştirildi.

Kerberos ilkesi ayarları

Windows 2000'de Kerberos ilkesi etki alanı düzeyinde tanımlanan ve etki alanı Anahtar Dağıtım Merkezi (KDC) tarafından uygulanır. Kerberos ilkesi, etki alanı güvenlik ilkesi özniteliklerinin bir alt dizini olarak Active Directory'de depolanır. Varsayılan olarak, ilke seçenekleri, yalnızca Domain Administrators grubunun bir üyesi ayarlanabilir.

Kerberos ilkesi varsayılan etki alanı ilkesi'nde bulunur ve aşağıdaki seçenekleri içerir:

Kullanıcı oturum açma kısıtlamalarını uygula

Bu seçenek etkinleştirildiğinde, KDC, her oturum bileti isteğini hedef bilgisayardaki kullanıcının yerel olarak oturum açmaya veya ağ üzerinden bilgisayara erişim için olduğunu doğrulamak için kullanıcı hakları ilkesine incelenerek doğrular. Bu istekte bulunan hesap hala geçerli olduğundan emin olmak için bir onay işareti olur. Doğrulama isteğe bağlıdır, çünkü bu fazladan adım zaman alır ve ağ hizmetlerine erişim yavaşlatabilir. Varsayılan değer: etkin.

Bir kullanıcı bileti yenilenebilir, en fazla yaşam süresi

Bu bilet, en fazla etkin kalma süresi, (TGT ya da bir oturum anahtarının, ancak bu ilke, bu makalenin "Kullanıcı biletinin" için olduğunu belirtir). Hiçbir anahtar bu süreden sonra yenilenebilir. Varsayılan değer: 7 gün.

Hizmet bileti en fazla yaşam süresi

Bir oturum biletinin "Hizmet biletinin" dir. Dakika cinsinden ayarlarıdır. Ayar on dakika daha çok olmalıdır ve küçüktür ayarı "En fazla kullanıcı biletinin süresi." Varsayılan değer: 10 saat.

Bilgisayar saatler, eşitleme için en fazla tolerans

KDC sunucunun saatinin ve Kerberos istemcisinin saat içinde belirlenen bir süre sonunda eşitlenmesi gerekir. Saatleri, belirtilen dakika sayısı içinde eşitlenmemiş, istemciye biletleri verilmemiş. Yeniden yürütme saldırılarına'da bir deterrent budur. Dakika cinsinden ayarlarıdır. Varsayılan değer: 5 dakika.

En fazla kullanıcı bilet süresi

"Kullanıcı biletinin" TGT, bu süre sonunda yenilenmesi gerekir. Varsayılan değer: 10 saat.

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 232179 - Son İnceleme: 01/11/2015 02:52:37 - Düzeltme: 3.2

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • kbnosurvey kbarchive kbmt kbenv kbinfo KB232179 KbMttr
Geri bildirim