有关 Kerberos 协议和密钥分发中心的注册表项 (KDC)

本文介绍有关 Kerberos 版本 5 身份验证协议和密钥分发中心 (KDC) 配置的注册表项。

适用于：Windows 11、Windows 10、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 Windows Server 2012原始 KB 编号：837361

Kerberos 是用于验证用户或主机标识的身份验证机制。 Kerberos 是 Windows 中服务的首选身份验证方法。

如果运行的是 Windows，则可以修改 Kerberos 参数以帮助排查 Kerberos 身份验证问题，或测试 Kerberos 协议。 为此，请添加或修改以下各节中列出的注册表项。

重要

此部分（或称方法或任务）介绍了修改注册表的步骤。 但是，注册表修改不当可能会出现严重问题。 因此，请务必严格按照这些步骤操作。 为了加强保护，应先备份注册表，再进行修改。 如果出现问题，可以还原注册表。 有关如何备份和还原注册表的详细信息，请参阅如何备份和还原 Windows 中的注册表。

注意

完成 Kerberos 协议故障排除或测试后，请删除添加的所有注册表项。 否则，计算机的性能可能会受到影响。

此部分中列出的注册表项必须添加到以下注册表子项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

注意

如果 “参数” 键未在 “Kerberos”下列出，则必须创建该密钥。

条目：SkewTime

类型：REG_DWORD

默认值：5 (分钟)

此值是客户端计算机与接受 Kerberos 身份验证或 KDC 的服务器之间允许的最大时间差。

注意

在确定 Kerberos 票证的重用有效性时，将考虑 SkewTime。 如果到期时间小于当前时间 + SkewTime，则票证被视为已过期。 例如，如果 SkewTime 设置为 20 分钟，当前时间为 08：00，则过期时间早于 08：20 的任何票证都将被视为已过期。

条目：LogLevel

类型：REG_DWORD

默认值：0

此值指示是否在系统事件日志中记录事件。 如果此值设置为任何非零值，则会在系统事件日志中记录所有与 Kerberos 相关的事件。

注意

记录的事件可能包括误报，其中 Kerberos 客户端使用不同的请求标志重试，然后成功。 因此，当你看到基于此设置记录的事件时，不要认为存在 Kerberos 问题。 有关详细信息，请参阅 如何启用 Kerberos 事件日志记录 。

条目：MaxPacketSize

类型：REG_DWORD

默认值：1465 (字节)

此值是 UDP) 数据包大小 (的最大用户数据报协议。 如果数据包大小超过此值，则使用 TCP。

在 Windows Vista 和更高版本的 Windows 中，此值的默认值为 0，因此 Windows Kerberos 客户端永远不会使用 UDP。

条目：StartupTime

类型：REG_DWORD

默认值：120 (秒)

此值是 Windows 在 Windows 放弃之前等待 KDC 启动的时间。

条目：KdcWaitTime

类型：REG_DWORD

默认值：10 (秒)

此值是 Windows 等待 KDC 响应的时间。

条目：KdcBackoffTime

类型：REG_DWORD

默认值：10 (秒)

如果上一次调用失败，此值是连续调用 KDC 之间的时间。

条目：KdcSendRetries

类型：REG_DWORD

默认值：3

此值是客户端尝试联系 KDC 的次数。

条目：DefaultEncryptionType

类型：REG_DWORD

此值指示预身份验证的默认加密类型。 RC4 的默认值为 23 (十进制) 或0x17 (十六进制)

若要使用 AES，请将值设置为以下值之一：

此值指示预身份验证的默认加密类型。

条目：FarKdcTimeout

类型：REG_DWORD

默认值：10 (分钟)

它是用于使域控制器从域控制器缓存中其他站点失效的超时值。

条目：NearKdcTimeout

类型：REG_DWORD

默认值：30 (分钟)

它是用于使域控制器缓存中同一站点中的域控制器失效的超时值。

条目：StronglyEncryptDatagram

类型：REG_BOOL

默认值：FALSE

此值包含一个标志，指示是否对数据报数据包使用 128 位加密。

条目：MaxReferralCount

类型：REG_DWORD

默认值：6

此值是客户端在客户端放弃之前追求的 KDC 引荐数。

条目：MaxTokenSize

类型：REG_DWORD

默认值：12000 (Decimal) 。 从Windows Server 2012和Windows 8开始，默认值为 48000。

此值是 Kerberos 令牌的最大值。 Microsoft 建议将此值设置为小于 65535。 有关详细信息，请参阅 用户属于多个组时 Kerberos 身份验证的问题。

条目：SpnCacheTimeout

类型：REG_DWORD

默认值：15 分钟

清除服务主体名称 (SPN) 缓存条目时，系统会使用此值。 在域控制器上，SPN 缓存处于禁用状态。 客户端和成员服务器使用此值来淘汰和清除) 找不到的 SPN (负缓存项。 例如，创建 15 分钟后不会删除有效的 SPN 缓存条目 (，而不是负缓存) 。 但是， SPNCacheTimeout 值也用于将 SPN 缓存减少到可管理的大小 - 当 SPN 缓存达到 350 个条目时，系统将此值用于 scavenge / cleanup 旧条目和未使用的条目。

条目：S4UCacheTimeout

类型：REG_DWORD

默认值：15 分钟

此值是用于限制来自特定计算机的 S4U 代理请求数的 S4U 负缓存条目的生存期。

条目：S4UTicketLifetime

类型：REG_DWORD

默认值：15 分钟

此值是 S4U 代理请求获取的票证的生存期。

条目：RetryPdc

类型：REG_DWORD

默认值：0 (false)

可能的值：0 (false) 或任何非零值 (true)

此值指示在客户端收到密码过期错误时，客户端是否会联系主域控制器进行身份验证服务请求 (AS_REQ) 。

条目：RequestOptions

类型：REG_DWORD

默认值：任何 RFC 1510 值

此值指示是否在票证授予服务请求 (TGS_REQ) 中作为 KDC 选项发送更多选项。

条目：ClientIpAddress

类型：REG_DWORD

默认值：0 (由于动态主机配置协议和网络地址转换问题，此设置为 0。)

可能的值：0 (false) 或任何非零值 (true)

此值指示是否在 AS_REQ 中添加客户端 IP 地址，以强制 Caddr 字段包含所有票证中的 IP 地址。

条目：TgtRenewalTime

类型：REG_DWORD

默认值：600 秒

此值是 Kerberos 在票证过期前尝试续订票证授予票证 (TGT) 之前等待的时间。

条目：AllowTgtSessionKey

类型：REG_DWORD

默认值：0

可能的值：0 (false) 或任何非零值 (true)

此值指示是使用初始还是跨领域 TGT 身份验证导出会话密钥。 出于安全原因，默认值为 false。

注意

使用 Windows 10 及更高版本的 Windows 中的活动 Credential Guard，无法再启用与应用程序共享 TGT 会话密钥的功能。

此部分中列出的注册表项必须添加到以下注册表子项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

注意

如果 Kdc 密钥未在“服务”下列出，则必须创建该密钥。

条目：KdcUseClientAddresses

类型：REG_DWORD

默认值：0

可能的值：0 (false) 或任何非零值 (true)

此值指示是否在Ticket-Granting服务回复 (TGS_REP) 中添加 IP 地址。

条目：KdcDontCheckAddresses

类型：REG_DWORD

默认值：1

可能的值：0 (false) 或任何非零值 (true)

此值指示是否将检查TGS_REQ和 TGT Caddr 字段的 IP 地址。

条目：NewConnectionTimeout

类型：REG_DWORD

默认值：10 (秒)

此值是初始 TCP 终结点连接保持打开状态以在断开连接之前接收数据的时间。

条目：MaxDatagramReplySize

类型：REG_DWORD

默认值：1465 (decimal，字节)

此值是TGS_REP和身份验证服务答复 (AS_REP) 消息中的最大 UDP 数据包大小。 如果数据包大小超过此值，KDC 将返回一条“KRB_ERR_RESPONSE_TOO_BIG”消息，请求客户端切换到 TCP。

注意

增加 MaxDatagramReplySize 可能会增加 Kerberos UDP 数据包碎片化的可能性。

有关此问题的详细信息，请参阅 如何在 Windows 中强制 Kerberos 使用 TCP 而不是 UDP。

条目：KdcExtraLogLevel

类型：REG_DWORD

默认值：2

可能的值：