DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 837361 - Última revisão: sexta-feira, 11 de Abril de 2008 - Revisão: 5.3

 

Nesta página

Sumário

Este artigo contém informações sobre as entradas de registo que se relacionam com o protocolo Kerberos versão 5 autenticação no Microsoft Windows Server 2003.

INTRODUÇÃO

Kerberos é um mecanismo de autenticação que é utilizado para verificar o utilizador ou identidade do anfitrião. Kerberos é o método de autenticação preferido para serviços no Windows Server 2003.

Se estiver a executar o Windows Server 2003, pode modificar os parâmetros de Kerberos para o ajudar a resolver problemas relacionados com Kerberos problemas de autenticação ou para testar o protocolo Kerberos. Para efectuar este procedimento, adicionar ou modificar as entradas de registo listadas na "Mais informações" secção.

Mais Informação

Importante Esta secção, método ou tarefa contém passos que a saber como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar uma cópia de segurança e restaurar o registo no Windows
Nota Depois de concluir a resolução de problemas ou testar os Kerberos protocolo, remova quaisquer entradas de registo que adicionar. Caso contrário, o desempenho do computador poderão ser afectado.

Entradas do registo e valores da chave de parâmetros

As entradas de registo listadas nesta secção têm de ser adicionadas à seguinte subchave do registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nota Se a chave Parameters não estiver listada em Kerberos, tem de criar a chave.
  • Entrada: SkewTime
    Tipo: REG_DWORD
    Valor predefinido: 5 (minutos)

    Este valor é a diferença de tempo máximo que é permitida entre o computador cliente e o servidor que aceita Kerberos autenticação. No Windows 2000 dada versão de compilação, a predefinição SkewTime valor é 2 horas.

    Nota Uma versão de compilação verificada do sistema operativo Windows é utilizada em ambientes de testes e produção. (Uma compilação verificada é também conhecido como uma versão de depuração.) Uma compilação verificada tem várias optimizações de compilador desactivadas. Este tipo de compilação rastreio ajuda à causa dos problemas no software de sistema. Activa uma compilação verificada várias verificações de depuração no código do sistema operativo e os controladores de sistema. Estas verificações depuração ajudam a compilação verificada identificar inconsistências internas assim que estas vão ocorrendo. Uma compilação verificada é maior e mais lenta a execução do que uma versão para utilizador final do Windows.

    Uma versão para utilizador final do Windows também é conhecido como uma versão free build ou uma versão de compilação de revenda. Numa versão free build, informações de depuração é removida e Windows é criado com as optimizações do compilador completo. Uma versão free build é mais rápida e utiliza menos memória do que uma versão de compilação verificada.
  • Entrada: LogLevel
    Tipo: REG_DWORD
    Valor predefinido: 0

    Este valor indica se os eventos são registados no registo de eventos do sistema. Se este valor é definido para qualquer valor diferente de zero, todos os eventos relacionados com Kerberos são registados no registo de eventos do sistema.
  • Entrada: MaxPacketSize
    Tipo: REG_DWORD
    Valor predefinido: 1465 (bytes)

    Este valor é o máximo User Datagram Protocol (UDP) tamanho de pacote. Se o tamanho do pacote exceder este valor, TCP é utilizada.
  • Entrada: StartupTime
    Tipo: REG_DWORD
    Valor predefinido: 120 (segundos)

    Este valor é o tempo que o Windows aguarda o Key Distribution Center (KDC) para iniciar antes do Windows proporciona.
  • Entrada: KdcWaitTime
    Tipo: REG_DWORD
    Valor predefinido: 10 (segundos)

    Este valor é o tempo que Windows aguarda uma resposta a partir de um KDC.
  • Entrada: KdcBackoffTime
    Tipo: REG_DWORD
    Valor predefinido: 10 (segundos)


    Este valor é o tempo entre chamadas sucessivas para o KDC se a chamada anterior falhou.
  • Entrada: KdcSendRetries
    Tipo: REG_DWORD
    Valor predefinido: 3

    Este valor é o número de vezes que um cliente tentará contactar um KDC.
  • Entrada: DefaultEncryptionType
    Tipo: REG_DWORD
    Valor predefinido: 23 (decimal) ou 0x17 (hexadecimal)

    Este valor indica o tipo de encriptação predefinido para pré-autenticação.
  • Entrada: FarKdcTimeout
    Tipo: REG_DWORD
    Valor predefinido: 10 (minutos)

    Este é o valor de limite de tempo que é utilizado para invalidar um controlador de domínio de um site diferente na cache do controlador de domínio.
  • Entrada: NearKdcTimeout
    Tipo: REG_DWORD
    Valor predefinido: 30 (minutos)

    Este é o valor de limite de tempo que é utilizado para invalidar um controlador de domínio no mesmo local na cache do controlador de domínio.
  • Entrada: StronglyEncryptDatagram
    Tipo: REG_BOOL
    Valor predefinido: FALSE

    Este valor contém um sinalizador que indica se a utilizar encriptação de 128 bits para datagramas.
  • Entrada: MaxReferralCount
    Tipo: REG_DWORD
    Valor predefinido: 6

    Este valor é o número de referências de KDC que um cliente pursues antes do cliente permite até.
  • Entrada: KerbDebugLevel
    Tipo: REG_DWORD
    Valor de predefinição: 0xFFFFFFFF

    Este valor é uma lista de sinalizadores que indicam o tipo e o nível de registo que é pedido. Este tipo de registo pode ser recolhido o nível de componente de Kerberos por bit a bit ou por um ou mais macros que são descritas na tabela seguinte.
    Reduzir esta tabelaExpandir esta tabela
    Nome de macroValorNota
    DEB_ERROR0 x 00000001Esta é a predefinição InfoLevel para compilações verificadas. Isto produz mensagens de erro através de componentes.
    DEB_WARN0 x 00000002Esta macro gera mensagens de aviso entre componentes. Em alguns casos, estas mensagens podem ser ignoradas.
    DEB_TRACE0 x 00000004Esta macro permite que os eventos de rastreio geral.
    DEB_TRACE_API0 x 00000008Esta macro permite que os eventos de rastreio de API de utilizador que normalmente são registados no entrada e saída para uma função exportada externamente que é implementada através de SSPI.
    DEB_TRACE_CRED0 x 00000010Esta macro permite que as credenciais de rastreio.
    DEB_TRACE_CTXT0 x 00000020Esta macro activa o rastreio de contexto.
    DEB_TRACE_LSESS0x00000040Esta macro activa o rastreio de sessão de início de sessão.
    DEB_TRACE_TCACHE0x00000080Não implementado
    DEB_TRACE_LOGON0x00000100Esta macro activa o rastreio de início de sessão, tais como em LsaApLogonUserEx2().
    DEB_TRACE_KDC0x00000200Esta macro activa o rastreio antes e depois de chamadas para KerbMakeKdcCall().
    DEB_TRACE_CTXT20 x 00000400Esta macro activa o rastreio de contexto adicionais.
    DEB_TRACE_TIME0x00000800Esta macro permite que o tempo de distorção rastreio está localizado na Timesync.cxx.
    DEB_TRACE_USER0x00001000Esta macro activa o rastreio de API de utilizador que é utilizado em conjunto com DEB_TRACE_API e que é encontrado principalmente na Userapi.cxx.
    DEB_TRACE_LEAKS0x00002000
    DEB_TRACE_SOCK0x00004000Esta macro permite que os eventos relacionados com o Winsock.
    DEB_TRACE_SPN_CACHE0x00008000Esta macro permite que os eventos relacionados com falhas e de acertos de cache SPN.
    DEB_S4U_ERROR0 x 00010000Não implementado
    DEB_TRACE_S4U0 x 00020000
    DEB_TRACE_BND_CACHE0x00040000
    DEB_TRACE_LOOPBACK0 x 00080000
    DEB_TRACE_TKT_RENEWAL0x00100000
    DEB_TRACE_U2U0x00200000
    DEB_TRACE_LOCKS0x01000000
    DEB_USE_LOG_FILE0x02000000Não implementado
  • Entrada: MaxTokenSize
    Tipo: REG_DWORD
    Valor predefinido: 12000 (decimal)

    Este valor é o valor máximo dos Kerberos token. A Microsoft recomenda que configure este valor e menor que 65535.
  • Entrada: SpnCacheTimeout
    Tipo: REG_DWORD
    Valor predefinido: 15 minutos

    Este valor é a duração das entradas de cache de nomes principais de serviço (SPN). Em controladores de domínio, a cache de SPN está desactivada.
  • Entrada: S4UCacheTimeout
    Tipo: REG_DWORD
    Valor predefinido: 15 minutos

    Este valor é a duração das entradas de cache negativas S4U que são utilizados para restringir o número de pedidos de proxy S4U a partir de um computador específico.
  • Entrada: S4UTicketLifetime
    Tipo: REG_DWORD
    Valor predefinido: 15 minutos

    Este valor é a duração das permissões que são obtidos por pedidos de proxy S4U.
  • Entrada: RetryPdc
    Tipo: REG_DWORD
    Valor predefinido: 0 (false)
    Os valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (verdadeiro)

    Este valor indica se o cliente irá contactar o controlador de domínio principal para pedidos de serviço de autenticação (AS_REQ) se o cliente recebe um erro de expiração de palavra-passe.
  • Entrada: RequestOptions
    Tipo: REG_DWORD
    Valor predefinido: Valor de qualquer RFC 1510

    Este valor indica que se existem opções adicionais que devem ser enviadas como opções de KDC no serviço de conceder permissão pedidos (TGS_REQ).
  • Entrada: ClientIpAddress
    Tipo: REG_DWORD
    Predefinição valor: 0 (esta definição é 0 devido a problemas de conversão de endereço Dynamic Host Configuration Protocol e de rede.)
    Os valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (verdadeiro)

    Este valor indica se um endereço IP do cliente será adicionado numa AS_REQ para forçar o campo Caddr contenha endereços IP em todas as permissões.
  • Entrada: TgtRenewalTime
    Tipo: REG_DWORD
    Valor de predefinição: 600 segundos

    Este valor é a hora em que Kerberos aguarda antes de tentar renovar uma TGT (permissão conceder permissão) antes do "ticket" expira.
  • Entrada: AllowTgtSessionKey
    Tipo: REG_DWORD
    Valor predefinido: 0
    Os valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (verdadeiro)

    Este valor indica se as chaves de sessão são exportadas com inicial ou cruzada realm TGT autenticação. O valor predefinido é false por motivos de segurança.

Entradas do registo e valores da chave de Kdc

As entradas de registo listadas nesta secção têm de ser adicionadas à seguinte subchave do registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Nota Se a chave de Kdc não estiver listada em serviços, tem de criar a chave.
  • Entrada: KdcUseClientAddresses
    Tipo: REG_DWORD
    Valor predefinido: 0
    Os valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (verdadeiro)

    Este valor indica se os endereços IP serão adicionados em TGS_REP (conceder permissão Service resposta).
  • Entrada: KdcDontCheckAddresses
    Tipo: REG_DWORD
    Valor predefinido: 1
    Os valores possíveis: 0 (FALSO) ou qualquer valor diferente de zero (verdadeiro)

    Este valor indica se os endereços IP para o TGS_REQ e o campo TGT Caddr serão verificados.
  • Entrada: NewConnectionTimeout
    Tipo: REG_DWORD
    Valor predefinido: 10 (segundos)

    Este valor é o tempo que uma ligação de ponto final TCP inicial será mantida aberta para receber dados antes de desligar.
  • Entrada: MaxDatagramReplySize
    Tipo: REG_DWORD
    Valor predefinido: 1465 (decimais, bytes)

    Este valor é o tamanho do pacote UDP máximo em mensagens de TGS_REP e respostas de serviço de autenticação (AS_REP). Se o tamanho do pacote exceder este valor, o KDC devolve uma mensagem KRB_ERR_RESPONSE_TOO_BIG que solicita que o cliente mudar para TCP.

    Nota Aumentar MaxDatagramReplySize poderá aumentar a probabilidade de pacotes de UDP de Kerberos ser fragmentado.

    Para obter mais informações sobre este problema, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
    244474  (http://support.microsoft.com/kb/244474/ ) Como forçar o Kerberos a utilizar TCP em vez de UDP no Windows
  • Entrada: KdcExtraLogLevel
    Tipo: REG_DWORD
    Valor predefinido: 2
    Valores possíveis:
    • 1 (decimal) ou 0 x 1 (hexadecimal): auditoria SPN erros desconhecidos.
    • 2 (decimal) ou 0 x 2 (hexadecimal): erros de registo PKINIT. (PKINIT é um rascunho da Internet Internet Engineering Task Force (IETF) para "Public Key Cryptography para autenticação inicial no Kerberos".)
    • 4 (decimal) ou 0 x 4 (hexadecimal): Iniciar KDC todos os erros.
    • 8 (decimal) ou 0 x 8 (hexadecimal): 25 de evento de aviso KDC de registo no registo do sistema quando o utilizador pedir permissão de S4U2Self não tem acesso suficiente para o utilizador de destino.
    • 16 (decimal) ou 0 x 10 (hexadecimal): eventos de registo de auditoria no tipo de encriptação (ETYPE) e erros de opções incorrecto.
    Este valor indica que informações o KDC vai escrever para registos de eventos e para auditorias.
  • Entrada: KdcDebugLevel
    Tipo: REG_DWORD
    Valor predefinido: 1 para compilação verificada, 0 para free build

    Este valor indica se o registo de depuração está activada (1) ou desactivado (0).

    Se o valor estiver definido para 0x10000000 (hexadecimal) ou 268435456 (decimal), informações específicas do ficheiro ou a linha serão devolvidas no campo de KERB_ERRORS edata como erros PKERB_EXT_ERROR durante uma falha de processamento de KDC.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
Palavras-chave: 
kbmt kbwinservnetwork kbsecurityservices kbregistry kbinfo KB837361 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 837361  (http://support.microsoft.com/kb/837361/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft