有关 Kerberos 协议和密钥分发中心的注册表项 (KDC) | 您所在的位置:网站首页 › kdc密钥分发中心 › 有关 Kerberos 协议和密钥分发中心的注册表项 (KDC) |
Windows 中的 Kerberos 协议注册表项和 KDC 配置键
项目
03/25/2023
本文介绍有关 Kerberos 版本 5 身份验证协议和密钥分发中心 (KDC) 配置的注册表项。 适用于:Windows 11、Windows 10、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 Windows Server 2012原始 KB 编号:837361 摘要Kerberos 是用于验证用户或主机标识的身份验证机制。 Kerberos 是 Windows 中服务的首选身份验证方法。 如果运行的是 Windows,则可以修改 Kerberos 参数以帮助排查 Kerberos 身份验证问题,或测试 Kerberos 协议。 为此,请添加或修改以下各节中列出的注册表项。 重要 此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的详细信息,请参阅如何备份和还原 Windows 中的注册表。 注意 完成 Kerberos 协议故障排除或测试后,请删除添加的所有注册表项。 否则,计算机的性能可能会受到影响。 Parameters 键下的注册表项和值此部分中列出的注册表项必须添加到以下注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters 注意 如果 “参数” 键未在 “Kerberos”下列出,则必须创建该密钥。 条目:SkewTime 类型:REG_DWORD 默认值:5 (分钟) 此值是客户端计算机与接受 Kerberos 身份验证或 KDC 的服务器之间允许的最大时间差。 注意 在确定 Kerberos 票证的重用有效性时,将考虑 SkewTime。 如果到期时间小于当前时间 + SkewTime,则票证被视为已过期。 例如,如果 SkewTime 设置为 20 分钟,当前时间为 08:00,则过期时间早于 08:20 的任何票证都将被视为已过期。 条目:LogLevel 类型:REG_DWORD 默认值:0 此值指示是否在系统事件日志中记录事件。 如果此值设置为任何非零值,则会在系统事件日志中记录所有与 Kerberos 相关的事件。 注意 记录的事件可能包括误报,其中 Kerberos 客户端使用不同的请求标志重试,然后成功。 因此,当你看到基于此设置记录的事件时,不要认为存在 Kerberos 问题。 有关详细信息,请参阅 如何启用 Kerberos 事件日志记录 。 条目:MaxPacketSize 类型:REG_DWORD 默认值:1465 (字节) 此值是 UDP) 数据包大小 (的最大用户数据报协议。 如果数据包大小超过此值,则使用 TCP。 在 Windows Vista 和更高版本的 Windows 中,此值的默认值为 0,因此 Windows Kerberos 客户端永远不会使用 UDP。 条目:StartupTime 类型:REG_DWORD 默认值:120 (秒) 此值是 Windows 在 Windows 放弃之前等待 KDC 启动的时间。 条目:KdcWaitTime 类型:REG_DWORD 默认值:10 (秒) 此值是 Windows 等待 KDC 响应的时间。 条目:KdcBackoffTime 类型:REG_DWORD 默认值:10 (秒) 如果上一次调用失败,此值是连续调用 KDC 之间的时间。 条目:KdcSendRetries 类型:REG_DWORD 默认值:3 此值是客户端尝试联系 KDC 的次数。 条目:DefaultEncryptionType 类型:REG_DWORD 此值指示预身份验证的默认加密类型。 RC4 的默认值为 23 (十进制) 或0x17 (十六进制) 若要使用 AES,请将值设置为以下值之一: aes256-cts-hmac-sha1-96:18 或 0x12 aes128-cts-hmac-sha1-96:17 或 0x11此值指示预身份验证的默认加密类型。 条目:FarKdcTimeout 类型:REG_DWORD 默认值:10 (分钟) 它是用于使域控制器从域控制器缓存中其他站点失效的超时值。 条目:NearKdcTimeout 类型:REG_DWORD 默认值:30 (分钟) 它是用于使域控制器缓存中同一站点中的域控制器失效的超时值。 条目:StronglyEncryptDatagram 类型:REG_BOOL 默认值:FALSE 此值包含一个标志,指示是否对数据报数据包使用 128 位加密。 条目:MaxReferralCount 类型:REG_DWORD 默认值:6 此值是客户端在客户端放弃之前追求的 KDC 引荐数。 条目:MaxTokenSize 类型:REG_DWORD 默认值:12000 (Decimal) 。 从Windows Server 2012和Windows 8开始,默认值为 48000。 此值是 Kerberos 令牌的最大值。 Microsoft 建议将此值设置为小于 65535。 有关详细信息,请参阅 用户属于多个组时 Kerberos 身份验证的问题。 条目:SpnCacheTimeout 类型:REG_DWORD 默认值:15 分钟 清除服务主体名称 (SPN) 缓存条目时,系统会使用此值。 在域控制器上,SPN 缓存处于禁用状态。 客户端和成员服务器使用此值来淘汰和清除) 找不到的 SPN (负缓存项。 例如,创建 15 分钟后不会删除有效的 SPN 缓存条目 (,而不是负缓存) 。 但是, SPNCacheTimeout 值也用于将 SPN 缓存减少到可管理的大小 - 当 SPN 缓存达到 350 个条目时,系统将此值用于 scavenge / cleanup 旧条目和未使用的条目。 条目:S4UCacheTimeout 类型:REG_DWORD 默认值:15 分钟 此值是用于限制来自特定计算机的 S4U 代理请求数的 S4U 负缓存条目的生存期。 条目:S4UTicketLifetime 类型:REG_DWORD 默认值:15 分钟 此值是 S4U 代理请求获取的票证的生存期。 条目:RetryPdc 类型:REG_DWORD 默认值:0 (false) 可能的值:0 (false) 或任何非零值 (true) 此值指示在客户端收到密码过期错误时,客户端是否会联系主域控制器进行身份验证服务请求 (AS_REQ) 。 条目:RequestOptions 类型:REG_DWORD 默认值:任何 RFC 1510 值 此值指示是否在票证授予服务请求 (TGS_REQ) 中作为 KDC 选项发送更多选项。 条目:ClientIpAddress 类型:REG_DWORD 默认值:0 (由于动态主机配置协议和网络地址转换问题,此设置为 0。) 可能的值:0 (false) 或任何非零值 (true) 此值指示是否在 AS_REQ 中添加客户端 IP 地址,以强制 Caddr 字段包含所有票证中的 IP 地址。 条目:TgtRenewalTime 类型:REG_DWORD 默认值:600 秒 此值是 Kerberos 在票证过期前尝试续订票证授予票证 (TGT) 之前等待的时间。 条目:AllowTgtSessionKey 类型:REG_DWORD 默认值:0 可能的值:0 (false) 或任何非零值 (true) 此值指示是使用初始还是跨领域 TGT 身份验证导出会话密钥。 出于安全原因,默认值为 false。 注意 使用 Windows 10 及更高版本的 Windows 中的活动 Credential Guard,无法再启用与应用程序共享 TGT 会话密钥的功能。 Kdc 键下的注册表项和值此部分中列出的注册表项必须添加到以下注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 注意 如果 Kdc 密钥未在“服务”下列出,则必须创建该密钥。 条目:KdcUseClientAddresses 类型:REG_DWORD 默认值:0 可能的值:0 (false) 或任何非零值 (true) 此值指示是否在Ticket-Granting服务回复 (TGS_REP) 中添加 IP 地址。 条目:KdcDontCheckAddresses 类型:REG_DWORD 默认值:1 可能的值:0 (false) 或任何非零值 (true) 此值指示是否将检查TGS_REQ和 TGT Caddr 字段的 IP 地址。 条目:NewConnectionTimeout 类型:REG_DWORD 默认值:10 (秒) 此值是初始 TCP 终结点连接保持打开状态以在断开连接之前接收数据的时间。 条目:MaxDatagramReplySize 类型:REG_DWORD 默认值:1465 (decimal,字节) 此值是TGS_REP和身份验证服务答复 (AS_REP) 消息中的最大 UDP 数据包大小。 如果数据包大小超过此值,KDC 将返回一条“KRB_ERR_RESPONSE_TOO_BIG”消息,请求客户端切换到 TCP。 注意 增加 MaxDatagramReplySize 可能会增加 Kerberos UDP 数据包碎片化的可能性。 有关此问题的详细信息,请参阅 如何在 Windows 中强制 Kerberos 使用 TCP 而不是 UDP。 条目:KdcExtraLogLevel 类型:REG_DWORD 默认值:2 可能的值: 1 (十进制) 或0x1 (十六进制) :审核安全事件日志中的未知 SPN 错误。 事件 ID 4769 记录了失败的审核。 2 (十进制) 或0x2 (十六进制) :记录 PKINIT 错误。 这会将默认启用的 KDC 警告事件 ID 21 () 记录到系统事件日志。 PKINIT 是一个 Internet 工程任务组 (IETF) Internet 草稿, 用于 Kerberos 中初始身份验证的公钥加密。 4 (十进制) 或0x4 (十六进制) :记录所有 KDC 错误。 这会记录 KDC 事件 ID 24 (U2U 要求) 到系统事件日志的示例。 8 (十进制) 或0x8 (十六进制) :当请求 S4U2Self 票证的用户对目标用户没有足够的访问权限时,在系统日志中记录 KDC 警告事件 ID 25。 16 (十进制) 或0x10 (十六进制) :记录加密类型 (ETYPE 的审核事件) 错误和错误选项错误。 此值指示 KDC 将写入事件日志和安全事件日志中的审核的信息。 事件 ID 4769 记录了失败的审核。 |
CopyRight 2018-2019 实验室设备网 版权所有 |