DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 956627 - Última revisão: terça-feira, 2 de setembro de 2008 - Revisão: 1.1

 

INTRODUÇÃO

Este artigo descreve o comportamento no quais Kerberos permissões são emitidos mesmo que a diferença de tempo entre um relógio de cliente e um relógio de controlador de domínio seja maior que o valor "Tolerância máxima para minutos de sincronização do relógio do computador".

Por exemplo, suponha que você tenha configurado a configuração de sincronização do relógio tolerância máxima para computador diretiva de grupo em um ambiente de domínio. Um controlador de domínio com Windows Server 2003 pode emitir um tíquete Kerberos para um computador cliente, mesmo que a diferença de tempo entre o relógio do cliente e o relógio do controlador de domínio seja mais do que o valor que você configurou para esta configuração de diretiva de grupo.

Observação O valor padrão para a configuração de sincronização do relógio tolerância máxima para o computador é cinco minutos.

Mais Informações

Se um computador cliente envia um carimbo de hora cujo valor é diferente do carimbo de hora ’s servidor por mais do que o valor que você configurou na configuração da sincronização do relógio tolerância máxima para o computador , o controlador de domínio retorna um código de erro "KRB_AP_ERR_SKEW" em seu pacote de resposta. Esse pacote, o controlador de domínio também inclui um carimbo de hora do seu próprio relógio. Quando o computador cliente recebe esse pacote, ele usa a hora do controlador de domínio junto com o valor da configuração da sincronização do relógio tolerância máxima para o computador para calcular o tempo válido. Em seguida, o computador cliente usa o tempo válido para repetir a solicitação. Nesta segunda tentativa, o tíquete Kerberos é emitido para o computador cliente.

Esse comportamento está documentado na solicitação de comentários (RFC) 4430, "Kerberized Internet a negociação de chaves (KINK)". Para ver 4430 RFC, visite a seguinte solicitação para site de comentários:
ftp://ftp.rfc-editor.org/in-notes/rfc4430.txt (ftp://ftp.rfc-editor.org/in-notes/rfc4430.txt)
A Microsoft fornece terceiros informações de contatos para ajudá-lo a encontrar suporte técnico. Essa informações de contatos podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações contatos de terceiros.

Se o relógio do computador cliente for mais rápido do que o relógio do controlador de domínio mais o tempo de vida do tíquete Kerberos, o tíquete Kerberos é inválido. Nesse cenário, o logon falhará.

Por padrão, o tempo de vida de um tíquete Kerberos é 10 horas (600 minutos). Para modificar o valor de tempo de vida, defina as seguintes configurações de diretiva de grupo:
  • computador configuração/configurações do Windows/segurança configurações/conta diretivas/Kerberos diretiva/máximo vida útil de permissão de serviço
  • computador configuração/configurações do Windows/segurança configurações/conta diretivas/Kerberos diretiva/máximo vida útil do tíquete de usuário
Para obter mais informações sobre a configuração de sincronização do relógio tolerância máxima para computador diretiva de grupo, visite o seguinte site:
http://technet.microsoft.com/en-us/library/cc779260.aspx (http://technet.microsoft.com/en-us/library/cc779260.aspx)

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kbexpertiseadvanced kbinfo KB956627 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 956627  (http://support.microsoft.com/kb/956627/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store