DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 837361 - Dernière mise à jour: vendredi 11 avril 2008 - Version: 5.3

 

Sommaire

Résumé

Cet article contient des informations sur les entrées de Registre qui concernent le protocole Kerberos version 5 authentification dans Microsoft Windows Server 2003.

INTRODUCTION

Kerberos est un mécanisme d'authentification qui est utilisé pour vérifier les identités utilisateur ou ordinateur hôte. Kerberos est la méthode d'authentification préféré pour les services dans Windows Server 2003.

Si vous exécutez Windows Server 2003, vous pouvez modifier les paramètres Kerberos pour aider à résoudre les problèmes liés à Kerberos problèmes d'authentification ou pour tester le protocole Kerberos. Pour ce faire, ajoutez ou modifiez les entrées de Registre qui sont répertoriées dans le "plus d'informations" section.

Plus d'informations

Important Cette section, la méthode ou la tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous que vous procédez comme suit avec soin. Pour plus de protection, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre en cas de problème. Pour plus d'informations sur la façon de sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
322756  (http://support.microsoft.com/kb/322756/ ) Comment faire pour sauvegarder et restaurer le Registre dans Windows
Remarque Après avoir terminé le test Kerberos ou de résolution des problèmes de protocole, supprimez toutes les entrées de Registre que vous ajoutez. Dans le cas contraire, les performances de votre ordinateur peut être affecté.

Entrées de Registre et valeurs sous la clé Parameters

Les entrées de Registre qui sont répertoriées dans cette section doivent être ajoutées à la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Remarque Si la clé Parameters n'est pas répertoriée sous Kerberos, vous devez créer la clé.
  • Entrée : SkewTime
    Type : REG_DWORD
    Valeur par défaut: 5 (minutes)

    Cette valeur est la différence de temps maximal autorisé entre l'ordinateur client et le serveur qui accepte Kerberos authentification. Dans Windows 2000 vérifiée de version, la valeur par défaut SkewTime valeur est 2 heures.

    Remarque Une version de build vérifiée du système d'exploitation Windows est utilisée dans les environnements de tests et de production. (Une version vérifiée est également connu sous une version debug). Une version vérifiée possède de nombreuses optimisations de compilateur désactivées. Ce type de génération trace vous aide à la cause de problèmes de système logiciel. Une version vérifiée allume de nombreuses vérifications de débogage dans le code du système d'exploitation et les pilotes de système. Ces vérifications débogage aideront à la version vérifiée identifier les incohérences internes dès qu'ils se produisent. Une version vérifiée est supérieure et est plus lente à s'exécuter qu'une version de l'utilisateur final de Windows.

    Une version de l'utilisateur final de Windows est également appelé une version version gratuite ou une version version commerciale. Dans une version version gratuite, informations de débogage sont supprimée, et Windows est intégré avec les optimisations du compilateur complet. Une version gratuite de version est plus rapide et utilise moins de mémoire qu'une version de version vérifiée.
  • Entrée : LogLevel
    Type : REG_DWORD
    Valeur par défaut: 0

    Cette valeur indique si les événements sont enregistrés dans le journal des événements système. Si cette valeur est définie à n'importe quelle valeur différente de zéro, tous les événements liés à Kerberos sont consignés dans le journal des événements système.
  • Entrée : MaxPacketSize
    Type : REG_DWORD
    La valeur par défaut : 1465 (octets)

    Cette valeur est maximale User Datagram Protocol taille de paquet (UDP). Si la taille du paquet dépasse cette valeur, TCP est utilisé.
  • Entrée : StartupTime
    Type : REG_DWORD
    Valeur par défaut : 120 (secondes)

    Cette valeur est l'heure à laquelle Windows attend que le Centre de distribution de clés (KDC, Key Distribution Center) pour démarrer avant Windows abandonne.
  • Entrée : KdcWaitTime
    Type : REG_DWORD
    Valeur par défaut : 10 (secondes)

    Cette valeur est le temps que Windows attend une réponse à partir d'un KDC.
  • Entrée : KdcBackoffTime
    Type : REG_DWORD
    La valeur par défaut : 10 (secondes)


    Cette valeur est le délai entre les appels successifs vers le contrôleur de domaine KERBEROS si l'appel précédent a échoué.
  • Entrée : KdcSendRetries
    Type : REG_DWORD
    La valeur par défaut: 3

    Cette valeur est le nombre de fois qu'un client tente de contacter un contrôleur de domaine KERBEROS.
  • Entrée : DefaultEncryptionType
    Type : REG_DWORD
    Valeur par défaut : 23 (décimal) ou 0 x 17 (hexadécimal)

    Cette valeur indique le type de cryptage par défaut pour l'authentification préalable.
  • Entrée : FarKdcTimeout
    Type : REG_DWORD
    La valeur par défaut : 10 (minutes)

    Il s'agit de la valeur de délai d'attente est utilisée pour invalider un contrôleur de domaine à partir d'un site différent dans le cache de contrôleur de domaine.
  • Entrée : NearKdcTimeout
    Type : REG_DWORD
    La valeur par défaut : 30 (minutes)

    Il s'agit de la valeur de délai d'attente est utilisée pour invalider un contrôleur de domaine dans le même site dans le cache de contrôleur de domaine.
  • Entrée : StronglyEncryptDatagram
    Type : REG_BOOL
    Valeur par défaut : FALSE

    Cette valeur contient un indicateur qui indique s'il faut utiliser le cryptage 128 bits pour les paquets de datagramme.
  • Entrée : MaxReferralCount
    Type : REG_DWORD
    La valeur par défaut: 6

    Cette valeur est le nombre de références de KDC pursues un client avant le donne client haut.
  • Entrée : KerbDebugLevel
    Type : REG_DWORD
    La valeur par défaut : 0xFFFFFFFF

    Cette valeur est une liste d'indicateurs qui indiquent le type et le niveau d'enregistrement qui est demandé. Ce type de journalisation peut être collecté au niveau de composant de Kerberos par au niveau du bit ou par un ou plusieurs des macros qui sont décrits dans le tableau suivant.
    Réduire ce tableauAgrandir ce tableau
    Nom de macroValeurRemarque
    DEB_ERROR0 x 00000001Il s'agit de la valeur par défaut InfoLevel pour versions vérifiées. Cela génère des messages d'erreur entre composants.
    DEB_WARN0 x 00000002Cette macro génère des messages d'avertissement entre composants. Dans certains cas, ces messages peuvent être ignorés.
    DEB_TRACE0 x 00000004Cette macro permet d'événements de suivi général.
    DEB_TRACE_API0 x 00000008Cette macro permet d'événements du suivi utilisateur API qui sont généralement enregistrés sur entrée et sortie à une fonction exportée en externe qui est implémentée par l'intermédiaire de SSPI.
    DEB_TRACE_CRED0 x 00000010Cette macro permet le suivi d'informations d'identification.
    DEB_TRACE_CTXT0 x 00000020Cette macro permet d'activer le traçage de contexte.
    DEB_TRACE_LSESS0 x 00000040Cette macro permet d'activer le traçage de la session d'ouverture de session.
    DEB_TRACE_TCACHE0Non implémenté
    DEB_TRACE_LOGON0 x 00000100Cette macro permet le traçage d'ouverture de session, comme dans LsaApLogonUserEx2().
    DEB_TRACE_KDC0x00000200Cette macro permet d'activer le traçage avant et après les appels à KerbMakeKdcCall().
    DEB_TRACE_CTXT20 x 00000400Cette macro permet d'activer le traçage de contexte supplémentaires.
    DEB_TRACE_TIME0x00000800Cette macro permet le temps maximal autorisé de traçage qui se trouve dans Timesync.cxx.
    DEB_TRACE_USER0 x 00001000Cette macro permet le suivi utilisateur API, qui est utilisé avec DEB_TRACE_API et qui se trouve principalement dans Userapi.cxx.
    DEB_TRACE_LEAKS0 x 00002000
    DEB_TRACE_SOCK0x00004000Cette macro permet des événements liés à Winsock.
    DEB_TRACE_SPN_CACHE0x00008000Cette macro permet des événements liés à l'accès au cache de nom principal de service et les échecs.
    DEB_S4U_ERROR0 x 00010000Non implémenté
    DEB_TRACE_S4U0 x 00020000
    DEB_TRACE_BND_CACHE0 x 00040000
    DEB_TRACE_LOOPBACK0 x 00080000
    DEB_TRACE_TKT_RENEWAL0 x 00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000Non implémenté
  • Entrée : MaxTokenSize
    Type : REG_DWORD
    Valeur par défaut: 12000 sous la (décimal)

    Cette valeur est la valeur maximale de la Kerberos jeton. Microsoft vous recommande de configurer cette valeur à moins de 65 535.
  • Entrée : SpnCacheTimeout
    Type : REG_DWORD
    La valeur par défaut : 15 minutes

    Cette valeur est la durée de vie des entrées du cache de noms principaux de service (SPN). Sur les contrôleurs de domaine, le cache de nom principal de service est désactivé.
  • Entrée : S4UCacheTimeout
    Type : REG_DWORD
    La valeur par défaut : 15 minutes

    Cette valeur est la durée de vie des entrées de cache négatives S4U qui sont utilisées pour limiter le nombre de demandes de proxy S4U à partir d'un ordinateur particulier.
  • Entrée : S4UTicketLifetime
    Type : REG_DWORD
    La valeur par défaut : 15 minutes

    Cette valeur est la durée de vie des tickets sont obtenues par des demandes de proxy S4U.
  • Entrée : RetryPdc
    Type : REG_DWORD
    Valeur par défaut: 0 (false)
    Les valeurs possibles: 0 (faux) ou toute valeur différente de zéro (vrai)

    Cette valeur indique si le client contactera le contrôleur principal de domaine pour authentification service demandes (AS_REQ) si le client reçoit une erreur d'expiration de mot de passe.
  • Entrée : RequestOptions
    Type : REG_DWORD
    La valeur par défaut : Valeur de n'importe quel document RFC 1510

    Cette valeur indique s'il existe des options supplémentaires qui doivent être envoyées en tant qu'options KDC dans service d'accord de ticket demande (TGS_REQ).
  • Entrée : ClientIpAddress
    Type : REG_DWORD
    Par défaut valeur: 0 (ce paramètre est 0 en raison de problèmes de traduction d'adresse réseau et de Dynamic Host Configuration Protocol).
    Les valeurs possibles: 0 (faux) ou toute valeur différente de zéro (vrai)

    Cette valeur indique si une adresse IP du client sera ajoutée dans AS_REQ pour forcer le champ Caddr pour contenir les adresses IP dans tous les tickets.
  • Entrée : TgtRenewalTime
    Type : REG_DWORD
    La valeur par défaut : 600 secondes

    Cette valeur est l'heure Kerberos attend avant qu'il essaie de renouveler un TICKET granting ticket () avant que le ticket n'expire.
  • Entrée : AllowTgtSessionKey
    Type : REG_DWORD
    Par défaut De la valeur: 0
    Les valeurs possibles: 0 (faux) ou toute valeur différente de zéro (vrai)

    Cette valeur indique si les clés de session sont exportés avec initiale ou entre l'authentification de domaine Kerberos TGT. La valeur par défaut est false pour des raisons de sécurité.

Entrées de Registre et valeurs sous la clé KDC

Les entrées de Registre qui sont répertoriées dans cette section doivent être ajoutées à la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Remarque Si la clé KDC n'est pas répertoriée sous Services, vous devez créer la clé.
  • Entrée : KdcUseClientAddresses
    Type : REG_DWORD
    Valeur par défaut: 0
    Les valeurs possibles: 0 (faux) ou toute valeur différente de zéro (true)

    Cette valeur indique si les adresses IP sont ajoutés dans la réponse de service accord de ticket (TGS_REP).
  • Entrée : KdcDontCheckAddresses
    Type : REG_DWORD
    Valeur par défaut: 1
    Les valeurs possibles: 0 (faux) ou toute valeur différente de zéro (true)

    Cette valeur indique si les adresses IP pour le TGS_REQ et le champ TGT Caddr seront vérifiées.
  • Entrée : NewConnectionTimeout
    Type : REG_DWORD
    Valeur par défaut : 10 (secondes)

    Cette valeur est l'heure à laquelle une connexion de point de terminaison TCP initiale sera conservée ouverte pour recevoir des données avant qu'il se déconnecte.
  • Entrée : MaxDatagramReplySize
    Type : REG_DWORD
    Valeur par défaut : 1465 (décimales, octets)

    Cette valeur est la taille de paquet UDP maximale dans les messages TGS_REP et les réponses de service d'authentification (AS_REP). Si la taille du paquet dépasse cette valeur, le KDC renvoie un message KRB_ERR_RESPONSE_TOO_BIG qui demande que le client basculer vers TCP.

    Remarque Augmentation MaxDatagramReplySize peut augmenter la probabilité de paquets Kerberos UDP fragmentation.

    Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
    244474  (http://support.microsoft.com/kb/244474/ ) Comment faire pour forcer Kerberos à utiliser le protocole TCP à la place d'UDP dans Windows
  • Entrée : KdcExtraLogLevel
    Type : REG_DWORD
    La valeur par défaut: 2
    Les valeurs possibles :
    • 1 (décimal) ou 0 x 1 (hexadécimal): auditer SPN erreurs inconnues.
    • 2 (décimal) ou 0 x 2 (hexadécimal): PKINIT de journal des erreurs. (PKINIT est un brouillon Internet IETF (Internet Engineering Task Force) pour «Public Key Cryptography pour l'authentification initiale dans Kerberos».)
    • 4 (décimal) ou 0 x 4 (hexadécimal): se connecter KDC toutes les erreurs.
    • 8 (décimal) ou 0 x 8 (hexadécimal): événement d'avertissement journal KDC 25 dans le journal système lors de l'utilisateur demande de ticket S4U2Self n'a pas de droits d'accès suffisants pour l'utilisateur cible.
    • 16 (décimal) ou 0 x 10 (hexadécimal): événements du journal d'audit sur le type de cryptage (ETYPE) et erreurs options incorrect.
    Cette valeur indique quelles informations le KDC écrira aux journaux des événements et à des audits.
  • Entrée : KdcDebugLevel
    Type : REG_DWORD
    La valeur par défaut: 1 pour version vérifiée, 0 pour la version gratuite

    Cette valeur indique si l'enregistrement de débogage est activé (1) ou désactivé (0).

    Si la valeur est définie à 0 x 10000000 (hexadécimal) ou 268435456 (décimale), des informations spécifiques de ligne ou de fichier seront retournées dans le champ edata de KERB_ERRORS comme des erreurs PKERB_EXT_ERROR pendant une panne de traitement du KDC.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Mots-clés : 
kbmt kbwinservnetwork kbsecurityservices kbregistry kbinfo KB837361 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 837361  (http://support.microsoft.com/kb/837361/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store