Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

KDC cấu hình phím trong Windows Server 2003 và mục đăng ký giao thức Kerberos

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:837361
TÓM TẮT
Bài viết này chứa thông tin về mục đăng ký có liên quan đến giao thức Kerberos Phiên bản 5 xác thực trong Microsoft Windows Server 2003.
GIỚI THIỆU
Kerberos là một cơ chế xác thực được sử dụng để xác minh danh tính người dùng hay máy chủ lưu trữ. Kerberos là phương pháp ưa thích xác thực cho các dịch vụ trong Windows Server 2003.

Nếu bạn đang chạy Windows Server năm 2003, bạn có thể sửa đổi các thông số Kerberos để giúp khắc phục sự cố Kerberos các vấn đề xác thực hoặc để kiểm tra các giao thức Kerberos. Để thực hiện việc này, thêm hoặc Sửa đổi các mục đăng ký được liệt kê trong các "More Information" keá tieáp.
THÔNG TIN THÊM
Quan trọng Phần, phương pháp hoặc nhiệm vụ này chứa các bước cho bạn biết làm thế nào để Sửa đổi sổ đăng ký. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi các cơ quan đăng ký không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm về làm thế nào để sao lưu và khôi phục sổ đăng ký, bấm vào bài viết sau đây số để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows
Chú ý Sau khi bạn kết thúc giải đáp thắc mắc hoặc thử nghiệm các Kerberos giao thức, loại bỏ bất kỳ mục đăng ký bạn thêm. Nếu không, hiệu suất của máy tính của bạn có thể bị ảnh hưởng.

Mục đăng ký và các giá trị dưới chìa khóa các thông số

Mục đăng ký được liệt kê trong phần này phải được thêm để đăng ký subkey sau đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Chú ý Nếu điều quan trọng các tham số không được liệt kê dưới Kerberos, bạn phải tạo khoá.
  • Mục: SkewTime
    Type: REG_DWORD
    Mặc định giá trị: 5 (phút)

    Giá trị này là sự khác biệt thời gian tối đa được phép giữa máy khách và hệ phục vụ đã nhận Kerberos xác thực. Trong Windows 2000 kiểm tra xây dựng phiên bản, mặc định SkewTime giá trị là 2 giờ.

    Chú ý Một kiểm tra xây dựng phiên bản hệ điều hành Windows được sử dụng trong sản xuất và thử nghiệm môi trường. (Một xây dựng kiểm tra cũng được gọi là một Phiên bản debug.) Một xây dựng kiểm tra có nhiều tối ưu hóa trình biên dịch đã bị tắt. Điều này loại xây dựng giúp dấu vết nguyên nhân của vấn đề trong hệ thống phần mềm. Một kiểm tra xây dựng bật nhiều kiểm tra gỡ lỗi trong hệ điều hành mã và trong các trình điều khiển hệ thống. Các chi phiếu gỡ lỗi giúp xây dựng kiểm tra xác định mâu thuẫn nội bộ ngay sau khi chúng xảy ra. Một xây dựng kiểm tra là lớn hơn và là chậm hơn chạy một phiên bản người dùng cuối của Windows.

    Một người dùng cuối Phiên bản của Windows cũng được gọi là một phiên bản miễn phí xây dựng hoặc bán lẻ xây dựng Phiên bản. Trong một phiên bản miễn phí xây dựng, thông tin gỡ lỗi được loại bỏ, và cửa sổ được xây dựng với trình biên dịch đầy đủ tối ưu. Một phiên bản miễn phí xây dựng là nhanh hơn và sử dụng ít bộ nhớ hơn một kiểm tra xây dựng phiên bản.
  • Mục: LogLevel
    Type: REG_DWORD
    Mặc định giá trị: 0

    Giá trị này chỉ ra cho dù các sự kiện đã đăng trong sự kiện hệ thống đăng nhập. Nếu giá trị này được thiết lập để bất kỳ giá trị khác không, tất cả các sự kiện liên quan đến Kerberos đang đăng nhập sổ ký sự hệ thống.
  • Mục: MaxPacketSize
    Type: REG_DWORD
    Mặc định Giá trị: 1465 (byte)

    Giá trị này là các tối đa UDP Kích thước gói (UDP). Nếu kích thước gói vượt quá giá trị này, TCP được sử dụng.
  • Mục: StartupTime
    Type: REG_DWORD
    Giá trị mặc định: 120 (giây)

    Giá trị này là thời gian Windows chờ chìa khóa Trung tâm phân phối (KDC) để bắt đầu trước khi cửa sổ cho.
  • Mục: KdcWaitTime
    Type: REG_DWORD
    Giá trị mặc định: 10 (giây)

    Giá trị này là thời gian Windows chờ đợi cho một phản ứng từ KDC.
  • Mục: KdcBackoffTime
    Type: REG_DWORD
    Mặc định Giá trị: 10 (giây)


    Giá trị này là thời gian giữa kế tiếp các cuộc gọi đến KDC nếu các cuộc gọi trước đó không thành công.
  • Mục: KdcSendRetries
    Type: REG_DWORD
    Mặc định Giá trị: 3

    Giá trị này là số lần một khách hàng sẽ cố gắng liên hệ với một KDC.
  • Mục: DefaultEncryptionType
    Type: REG_DWORD
    Giaù trò maëc ñònh: 23 (thập phân) hoặc 0x17 (hệ thập lục phân)

    Giá trị này chỉ ra loại mã hóa mặc định cho pre-authentication.
  • Mục: FarKdcTimeout
    Type: REG_DWORD
    Mặc định Giá trị: 10 (phút)

    Đây là giá trị time-out được sử dụng để invalidate bộ kiểm soát miền từ một trang web khác nhau trong điều khiển vùng bộ nhớ cache.
  • Mục: NearKdcTimeout
    Type: REG_DWORD
    Mặc định Giá trị: 30 (phút)

    Đây là giá trị time-out được sử dụng để invalidate bộ kiểm soát miền trong cùng một trang trong bộ điều khiển tên miền bộ nhớ cache.
  • Mục: StronglyEncryptDatagram
    Loại: REG_BOOL
    Mặc định giá trị: sai

    Giá trị này chứa một lá cờ cho biết cho dù sử dụng mã hóa 128-bit cho các gói tin datagram.
  • Mục: MaxReferralCount
    Type: REG_DWORD
    Mặc định Giá trị: 6

    Giá trị này là số KDC giới thiệu mà một khách hàng theo đuổi trước khi khách hàng sẽ cho.
  • Mục: KerbDebugLevel
    Type: REG_DWORD
    Mặc định Giá trị: 0xFFFFFFFF

    Giá trị này là danh sách các lá cờ cho biết các loại hình và mức độ đăng nhập mà được yêu cầu. Loại đăng nhập có thể được thu thập ở cấp thành phần của Kerberos bởi bit hoặc bởi một hoặc nhiều các macro được mô tả trong bảng sau. Xin lưu ý một số các bên dưới đầu ra đòi hỏi phải kiểm tra phiên bản của kerberos.dll (ví dụ DEB_TRACE_SPN_CACHE). Nếu mức độ xử lý sự cố là cần thiết xin vui lòng liên hệ với hỗ trợ microsoft để được trợ giúp.
    Vĩ mô tênGiá trịChú ý
    DEB_ERROR0x00000001Đây là mặc định InfoLevel cho kiểm tra xây dựng. Điều này tạo ra các thông báo lỗi trên các thành phần.
    DEB_WARN0x00000002Vĩ mô này tạo ra thông điệp cảnh báo trên các thành phần. Trong một số trường hợp, các thông điệp này có thể bỏ qua.
    DEB_TRACE0x00000004Này vĩ mô cho phép sự kiện chung truy tìm.
    DEB_TRACE_API0x00000008Này vĩ mô cho phép người sử dụng API truy tìm các sự kiện thường đã đăng trên mục nhập và khi thoát để một chức năng đã xuất chuyển ra bên ngoài mà được thực hiện thông qua SSPI.
    DEB_TRACE_CRED0x00000010Này vĩ mô cho phép chứng cách dò.
    DEB_TRACE_CTXT0x00000020Này vĩ mô cho phép truy tìm bối cảnh.
    DEB_TRACE_LSESS0x00000040Này vĩ mô cho phép đăng nhập truy tìm phiên làm việc.
    DEB_TRACE_TCACHE0x00000080Không triển khai thực hiện
    DEB_TRACE_LOGON0x00000100Này vĩ mô cho phép đăng nhập truy tìm như trong LsaApLogonUserEx2().
    DEB_TRACE_KDC0x00000200Này vĩ mô cho phép truy tìm trước và sau khi các cuộc gọi đến KerbMakeKdcCall().
    DEB_TRACE_CTXT20x00000400Này vĩ mô cho phép truy tìm thêm bối cảnh.
    DEB_TRACE_TIME0x00000800Này vĩ mô cho phép thời gian truy tìm skew có nghĩa là được tìm thấy trong Timesync.cxx.
    DEB_TRACE_USER0x00001000Này vĩ mô cho phép người sử dụng API truy tìm mà được sử dụng cùng với DEB_TRACE_API và đó là tìm thấy chủ yếu ở Userapi.cxx.
    DEB_TRACE_LEAKS0x00002000
    DEB_TRACE_SOCK0x00004000Này vĩ mô cho phép Winsock liên quan đến các sự kiện.
    DEB_TRACE_SPN_CACHE0x00008000Này vĩ mô cho phép các sự kiện có liên quan đến SPN bộ nhớ cache hits và bỏ lỡ.
    DEB_S4U_ERROR0x00010000Không triển khai thực hiện
    DEB_TRACE_S4U0x00020000
    DEB_TRACE_BND_CACHE0x00040000
    DEB_TRACE_LOOPBACK0x00080000
    DEB_TRACE_TKT_RENEWAL0x00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000Không triển khai thực hiện
  • Mục: MaxTokenSize
    Type: REG_DWORD
    Giá trị mặc định: 12000 (Decimal)

    Giá trị này là giá trị tối đa của các Kerberos mã thông báo. Microsoft khuyến cáo rằng bạn đặt giá trị này thành ít hơn 65535.
  • Mục: SpnCacheTimeout
    Type: REG_DWORD
    Mặc định Giá trị: 15 phút

    Giá trị này được sử dụng bởi hệ thống khi đang dọn dẹp dịch vụ chính tên (SPN) bộ nhớ cache mục. Trên bộ điều khiển vùng, bộ nhớ cache SPN bị tắt. Khách hàng và máy chủ thành viên sử dụng giá trị này tuổi và dọn sạch mục tiêu cực bộ nhớ cache (SPN không tìm thấy). Lưu ý: hợp lệ SPN bộ nhớ cache mục (i.e.not tiêu cực bộ nhớ cache) sẽ không bị xóa sau 15 phút của sáng tạo. Tuy nhiên, SPNCacheTimeouvalue cũng được sử dụng để giảm bộ nhớ cache SPN đến một kích thước dễ quản lý - khi bộ nhớ cache SPN đạt tới 350 mục hệ thống sẽ sử dụng giá trị này để nhặt rác / dọn dẹp cũ và không sử dụng mục.
  • Mục: S4UCacheTimeout
    Type: REG_DWORD
    Mặc định Giá trị: 15 phút

    Giá trị này là cả thời gian tiêu cực S4U bộ nhớ cache mục được sử dụng để hạn chế số lượng S4U ủy quyền yêu cầu từ một máy tính cụ thể.
  • Mục: S4UTicketLifetime
    Type: REG_DWORD
    Mặc định Giá trị: 15 phút

    Giá trị này là cả thời gian vé được thu được bằng cách yêu cầu ủy quyền S4U.
  • Mục: RetryPdc
    Type: REG_DWORD
    Mặc định giá trị: 0 (sai)
    Giá trị có thể: 0 (sai) hay bất kỳ giá trị khác 0 (đúng)

    Giá trị này chỉ ra cho dù khách hàng sẽ liên lạc với chính điều khiển vùng cho xác thực dịch vụ yêu cầu (AS_REQ) nếu khách hàng nhận được một mật khẩu hết hạn lỗi.
  • Mục: RequestOptions
    Type: REG_DWORD
    Mặc định Giá trị: Bất kỳ giá trị RFC 1510

    Giá trị này cho thấy cho dù có những tùy chọn bổ sung phải được gửi như KDC tùy chọn trong vé cấp giấy dịch vụ yêu cầu (TGS_REQ).
  • Mục: ClientIpAddress
    Type: REG_DWORD
    Mặc định Giá trị: 0 (cài đặt này là 0 vì Dynamic Host Configuration Protocol và vấn mạng địa chỉ dịch đề.)
    Giá trị có thể: 0 (sai) hoặc bất kỳ khác không giá trị (đúng)

    Giá trị này chỉ ra cho dù một địa chỉ IP của khách hàng sẽ được bổ sung trong AS_REQ để buộc các lĩnh vực Caddr có chứa các địa chỉ IP trong tất cả các vé.
  • Mục: TgtRenewalTime
    Type: REG_DWORD
    Mặc định Giá trị: 600 giây

    Giá trị này là thời gian mà Kerberos chờ đợi trước khi nó cố gắng để làm mới một vé cấp vé (TGT) trước khi vé hết hạn.
  • Mục: AllowTgtSessionKey
    Type: REG_DWORD
    Mặc định Giá trị: 0
    Giá trị có thể: 0 (sai) hay bất kỳ giá trị khác 0 (đúng)

    Giá trị này chỉ ra cho dù phiên phím được xuất khẩu với ban đầu hoặc với băng qua lĩnh vực TGT xác thực. Giá trị mặc định là sai cho an ninh lý do.

Mục đăng ký và các giá trị dưới chìa khóa Kdc

Mục đăng ký được liệt kê trong phần này phải được thêm để đăng ký subkey sau đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Chú ý Nếu khoá Kdc không được liệt kê theo dịch vụ, bạn cần phải tạo các baám giöõ phím.
  • Mục: KdcUseClientAddresses
    Type: REG_DWORD
    Mặc định giá trị: 0
    Giá trị có thể: 0 (sai) hay bất kỳ giá trị khác không (đúng)

    Giá trị này chỉ ra cho dù các địa chỉ IP sẽ được thêm vào trong các Vé cho phép dịch vụ Reply (TGS_REP).
  • Mục: KdcDontCheckAddresses
    Type: REG_DWORD
    Mặc định giá trị: 1
    Giá trị có thể: 0 (sai) hay bất kỳ giá trị khác không (đúng)

    Giá trị này chỉ ra cho dù IP địa chỉ cho TGS_REQ và lĩnh vực TGT Caddr sẽ được kiểm tra.
  • Mục: NewConnectionTimeout
    Type: REG_DWORD
    Giaù trò maëc ñònh: 10 (giây)

    Giá trị này là thời gian mà một Ban đầu TCP kết nối điểm cuối sẽ được giữ mở nhận dữ liệu trước khi nó ngắt kết nối.
  • Mục: MaxDatagramReplySize
    Type: REG_DWORD
    Giaù trò maëc ñònh: 1465 (thập phân, byte)

    Giá trị này là tối đa UDP gói kích thước TGS_REP và xác thực dịch vụ bài trả lời (AS_REP) tin nhắn. Nếu kích thước gói vượt quá giá trị này, KDC trả về một KRB_ERR_RESPONSE_TOO_BIG tin nhắn mà yêu cầu khách hàng chuyển sang TCP.

    Chú ý Tăng MaxDatagramReplySize có thể làm tăng các khả năng của các gói tin Kerberos UDP bị phân mảnh.

    Để biết thêm thông tin về vấn đề này, Nhấp vào số bài viết sau đây để xem bài viết trong Microsoft Kiến thức cơ bản:
    244474Làm thế nào để buộc Kerberos sử dụng TCP thay vì UDP trong Windows
  • Mục: KdcExtraLogLevel
    Type: REG_DWORD
    Mặc định Giá trị: 2
    Giá trị có thể:
    • 1 (thập phân) hoặc 0x1 (hệ thập lục phân): kiểm toán SPN không rõ lỗi.
    • 2 (thập phân) hoặc 0x2 (hệ thập lục phân): đăng nhập PKINIT lỗi. (PKINIT là một dự thảo Internet Engineering Task Force (IETF) Internet cho "công cộng» Mật mã khóa học cho ban đầu xác thực trong Kerberos.")
    • 4 (thập phân) hoặc 0x4 (hệ thập lục phân): đăng nhập tất cả các KDC lỗi.
    • 8 (thập phân) hoặc 0x8 (hệ thập lục phân): sự kiện cảnh báo Log KDC 25 trong đăng nhập hệ thống khi người dùng yêu cầu S4U2Self vé không có đủ quyền truy nhập cho mục tiêu dùng.
    • 16 (thập phân) hay 0x10 (hệ thập lục phân): Nhật ký sự kiện kiểm toán trên mã hóa kiểu (ETYPE) và lựa chọn xấu lỗi.
    Giá trị này chỉ ra thông tin gì KDC sẽ viết thư cho bản ghi sự kiện và để kiểm toán.
  • Mục: KdcDebugLevel
    Type: REG_DWORD
    Mặc định Giá trị: 1 cho kiểm tra xây dựng, 0 miễn phí xây dựng

    Giá trị này chỉ ra Xem gỡ lỗi đăng nhập là ngày (1) hoaëc taét (0).

    Nếu giá trị được thiết lập để 0x10000000 (hệ thập lục phân) hoặc 268435456 (thập phân), tập tin cụ thể hoặc dòng thông tin sẽ được trả lại trong lĩnh vực edata KERB_ERRORS như PKERB_EXT_ERROR lỗi trong một thất bại KDC chế biến.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 837361 - Xem lại Lần cuối: 09/12/2011 08:10:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows Vista Business, Windows Vista Enterprise, Windows Vista Service Pack 2, Microsoft Windows XP Service Pack 3

  • kbwinservnetwork kbsecurityservices kbregistry kbinfo kbmt KB837361 KbMtvi
Phản hồi