Registerposter för Kerberos-protokoll och KDC-konfigurationsnycklar i Windows

  • Artikel
  • 8 minuter för att läsa

I den här artikeln beskrivs registerposter om Kerberos version 5-autentiseringsprotokoll och KDC-konfiguration (Key Distribution Center).

Gäller för:   Windows 10, version 2004, Windows 7 Service Pack 1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprungligt KB-nummer:   837361

Sammanfattning

Kerberos är en autentiseringsmekanism som används för att verifiera användar- eller värdidentitet. Kerberos är den rekommenderade autentiseringsmetoden för tjänster i Windows.

Om du kör ett Windows kan du ändra Kerberos-parametrar för att felsöka Problem med Kerberos-autentisering eller för att testa Kerberos-protokollet. Det gör du genom att lägga till eller ändra registerposterna som listas i följande avsnitt.

Viktigt

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret finns i Hur du säkerhetskopierar och återställer registret i Windows.

Anteckning

När du har felsökt eller testat Kerberos-protokollet tar du bort alla registerposter som du lägger till. I annat fall kan datorns prestanda påverkas.

Registerposter och värden under parameternyckeln

Registerposterna som listas i det här avsnittet måste läggas till i följande registerundernyckel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Anteckning

Om nyckeln Parametrar inte visas under Kerberos måste du skapa nyckeln.

  • Post: Snedtid

    • Typ: REG_DWORD

    • Standardvärde: 5 (minuter)

      Det här värdet är den maximala tidsskillnad som tillåts mellan klientdatorn och servern som accepterar Kerberos-autentisering.

  • Post: LogLevel

    • Typ: REG_DWORD

    • Standardvärde: 0

      Det här värdet anger om händelser loggas i systemhändelseloggen. Om det här värdet anges till ett annat värde än noll loggas alla Kerberos-relaterade händelser i systemhändelseloggen.

      Anteckning

      Händelser som loggas kan inkludera falska positiva resultat där Kerberos-klienten återträffar med olika begärandeflaggor som sedan lyckas. Därför bör du inte anta att du har ett Kerberos-problem när du ser en händelse som loggats baserat på den här inställningen. Mer information finns i Aktivera kerberos-händelseloggning .

  • Post: MaxPacketSize

    • Typ: REG_DWORD

    • Standardvärde: 1465 (byte)

      Det här värdet är den maximala UDP-paketstorleken (User Datagram Protocol). Om paketstorleken överskrider det här värdet används TCP.

      Standardvärdet för det här värdet i Windows Vista och senare version av Windows är 0, så UDP används aldrig av Windows Kerberos-klienten.

  • Post: StartupTime

    • Typ: REG_DWORD

    • Standardvärde: 120 (sekunder)

      Det här värdet är den tid Windows väntar på att KDC ska starta innan Windows ger upp.

  • Post: KdcWaitTime

    • Typ: REG_DWORD

    • Standardvärde: 10 (sekunder)

      Det här värdet är den tid Windows väntar på ett svar från en KDC.

  • Post: KdcBackoffTime

    • Typ: REG_DWORD

    • Standardvärde: 10 (sekunder)

      Det här värdet är tiden mellan efterföljande samtal till KDC om det föregående samtalet misslyckades.

  • Post: KdcSendRetries

    • Typ: REG_DWORD

    • Standardvärde: 3

      Det här värdet är antalet gånger som en klient försöker kontakta en KDC.

  • Post: DefaultEncryptionType

    • Typ: REG_DWORD

      Det här värdet anger standardkrypteringstypen för förautentisering. Standardvärdet är RC4 är 23 (decimal) eller 0x17 (hexadecimal)

      När du vill använda AES anger du värdet till något av följande värden:

      • aes256-cts-hmac-sha1-96: 18 eller 0x12
      • aes128-cts-hmac-sha1-96: 17 eller 0x11

      Det här värdet anger standardkrypteringstypen för förautentisering.

  • Post: FarKdcTimeout

    • Typ: REG_DWORD

    • Standardvärde: 10 (minuter)

      Det är ett time out-värde som används för att göra en domänkontrollant ogiltig från en annan plats i domänkontrollantcachen.

  • Post: NearKdcTimeout

    • Typ: REG_DWORD

    • Standardvärde: 30 (minuter)

      Det är time out-värdet som används för att göra en domänkontrollant ogiltig på samma plats i domänkontrollantcachen.

  • Post: StarktKrypteraDatagram

    • Typ: REG_BOOL

    • Standardvärde: FALSKT

      Det här värdet innehåller en flagga som anger om 128-bitars kryptering för datagrampaket ska användas.

  • Post: MaxReferralCount

    • Typ: REG_DWORD

    • Standardvärde: 6

      Det här värdet är antalet KDC-referenser som en klient använder innan klienten ger upp.

  • Post: KerbDebugLevel

    • Typ: REG_DWORD

    • Standardvärde: 0xFFFFFFFF

      Det här värdet är en lista med flaggor som anger typ och nivå av loggning som begärs. Den här typen av loggning kan samlas in på komponentnivån i Kerberos bitvis eller med ett eller flera av de makron som beskrivs i följande tabell. För vissa av nedanstående resultat krävs kontrollerad version kerberos.dll (till exempel DEB_TRACE_SPN_CACHE). Om den här nivån av felsökning krävs kontaktar du Microsoft Support för att få hjälp.

      Makronamn Värde Obs!
      DEB_ERROR 0x00000001 Det är standardinställningen för InfoLevel för markerade byggen. Den skapar felmeddelanden till alla komponenter.
      DEB_WARN 0x00000002 Det här makrot genererar varningsmeddelanden mellan komponenter. I vissa fall kan du ignorera dessa meddelanden.
      DEB_TRACE 0x00000004 Det här makrot aktiverar allmänna spårningshändelser.
      DEB_TRACE_API 0x00000008 Det här makrot aktiverar användar-API-spårningshändelser som loggas in och går ut till en externt exporterad funktion som implementeras via SSPI.
      DEB_TRACE_CRED 0x00000010 Det här makrot aktiverar autentiseringsuppgifter vid spårning.
      DEB_TRACE_CTXT 0x00000020 Det här makrot aktiverar sammanhangsspårning.
      DEB_TRACE_LSESS 0x00000040 Det här makrot aktiverar inloggningssessionsspårning.
      DEB_TRACE_TCACHE 0x00000080 Inte implementerad
      DEB_TRACE_LOGON 0x00000100 Det här makrot aktiverar inloggningsspårning, till exempel i LsaApLogonUserEx2().
      DEB_TRACE_KDC 0x00000200 Med det här makrot kan du spåra före och efter anrop till KerbMakeKdcCall().
      DEB_TRACE_CTXT2 0x00000400 Det här makrot möjliggör extra kontextspårning.
      DEB_TRACE_TIME 0x00000800 Det här makrot aktiverar den tidssnedhetsspårning som finns i Timesync.cxx.
      DEB_TRACE_USER 0x00001000 Det här makrot möjliggör användar-API-spårning som används tillsammans med DEB_TRACE_API och som huvudsakligen återfinns i Userapi.cxx.
      DEB_TRACE_LEAKS 0x00002000
      DEB_TRACE_SOCK 0x00004000 Det här makrot aktiverar Winsock-relaterade händelser.
      DEB_TRACE_SPN_CACHE 0x00008000 Det här makrot aktiverar händelser som är relaterade till SPN-cache träffar och missar.
      DEB_S4U_ERROR 0x00010000 Inte implementerad
      DEB_TRACE_S4U 0x00020000
      DEB_TRACE_BND_CACHE 0x00040000
      DEB_TRACE_LOOPBACK 0x00080000
      DEB_TRACE_TKT_RENEWAL 0x00100000
      DEB_TRACE_U2U 0x00200000
      DEB_TRACE_LOCKS 0x01000000
      DEB_USE_LOG_FILE 0x02000000 Inte implementerad

  • Post: MaxTokenSize

    • Typ: REG_DWORD

    • Standardvärde: 12 000 (decimal). Från Windows Server 2012 och Windows 8 är standardvärdet 48 000.

      Det här värdet är det högsta värdet för Kerberos-token. Microsoft rekommenderar att du ställer in det här värdet på mindre än 65 535. Mer information finns i Problem med Kerberos-autentisering när en användare tillhör många grupper.

  • Post: SpnCacheTimeout

    • Typ: REG_DWORD

    • Standardvärde: 15 minuter

      Det här värdet används av systemet när SPN-cacheposter (Service Principal Names) rensas. SpN-cachen är inaktiverad på domänkontrollanter. Klient- och medlemsservrar använder det här värdet för att åldersförde ta bort negativa cacheposter (SPN hittades inte). Giltiga SPN-cacheposter (till exempel inte negativ cache) tas inte bort när 15 minuter har skapats. SPNCacheTimeout-värdet används emellertid även för att minska SPN-cachen till en hanterbar storlek. När SPN-cachen når 350 poster använder systemet scavenge / cleanup det här värdet för gamla och oanvända poster.

  • Post: S4UCacheTimeout

    • Typ: REG_DWORD

    • Standardvärde: 15 minuter

      Det här värdet är livslängden för negativa S4U-cacheposter som används för att begränsa antalet S4U-proxybegäranden från en viss dator.

  • Post: S4UTicketLifetime

    • Typ: REG_DWORD

    • Standardvärde: 15 minuter

      Det här värdet är livslängden för biljetter som erhålls av S4U-proxybegäranden.

  • Post: Försök igen

    • Typ: REG_DWORD

    • Standardvärde: 0 (falskt)

    • Möjliga värden: 0 (falskt) eller ett värde som inte är noll (sant)

      Det här värdet anger om klienten kommer att kontakta den primära domänkontrollanten för autentiseringstjänstbegäranden (AS_REQ) om klienten får ett utgångsfel för lösenord.

  • Post: RequestOptions

    • Typ: REG_DWORD

    • Standardvärde: Alla RFC 1510-värden

      Det här värdet anger om det finns fler alternativ som måste skickas som KDC-alternativ i Begäran om att bevilja tjänster för biljett (TGS_REQ).

  • Post: ClientIpAddress

    • Typ: REG_DWORD

    • Standardvärde: 0 (Den här inställningen är 0 på grund av problem med Dynamic Host Configuration Protocol och översättning av nätverksadresser.)

    • Möjliga värden: 0 (falskt) eller ett värde som inte är noll (sant)

      Det här värdet anger om en klient-IP-adress läggs till i AS_REQ Caddr för att tvinga fältet att innehålla IP-adresser i alla biljetter.

  • Post: TgtRenewalTime

    • Typ: REG_DWORD

    • Standardvärde: 600 sekunder

      Det här värdet är den tid då Kerberos väntar tills den försöker förnya en biljett som ger biljett (TGT) innan biljetten går ut.

  • Post: AllowTgtSessionKey

    • Typ: REG_DWORD

    • Standardvärde: 0

    • Möjliga värden: 0 (falskt) eller ett värde som inte är noll (sant)

      Det här värdet anger om sessionsnycklar exporteras med ursprunglig eller med TGT-autentisering över hela världen. Standardvärdet är falskt av säkerhetsskäl.

      Anteckning

      Med active Credential Guard i Windows 10 och senare versioner av Windows kan du inte aktivera delning av TGT-sessionsnycklar med program längre.

Registerposter och värden under KDC-nyckeln

Registerposterna som listas i det här avsnittet måste läggas till i följande registerundernyckel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Anteckning

Om Kdc-nyckeln inte visas under Tjänster måste du skapa nyckeln.

  • Post: KdcUseClientAddresses

    • Typ: REG_DWORD

    • Standardvärde: 0

    • Möjliga värden: 0 (falskt) eller ett värde som inte är noll (sant)

      Det här värdet anger om IP-adresser läggs till i Ticket-Granting Eller Tjänstsvar (TGS_REP).

  • Post: KdcDontCheckAddresses

    • Typ: REG_DWORD

    • Standardvärde: 1

    • Möjliga värden: 0 (falskt) eller ett värde som inte är noll (sant)

      Det här värdet anger om IP-adresser för TGS_REQ och TGT-fältet Caddr kommer att kontrolleras.

  • Post: NewConnectionTimeout

    • Typ: REG_DWORD

    • Standardvärde: 10 (sekunder)

      Det här värdet är tiden då en inledande TCP-slutpunktsanslutning hålls öppen för att ta emot data innan anslutningen kopplas från.

  • Post: MaxDatagramReplySize

    • Typ: REG_DWORD

    • Standardvärde: 1465 (decimal, byte)

      Det här värdet är den maximala storleken på UDP TGS_REP och autentiseringstjänstens svarsmeddelanden (AS_REP). Om paketstorleken överskrider det här värdet returnerar KDC ett KRB_ERR_RESPONSE_TOO_BIG som begär att klienten växlar till TCP.

      Anteckning

      Om du ökar MaxDatagramReplySize ökar sannolikheten för att Kerberos UDP-paket är fragmenterade.

      Mer information om det här problemet finns i Tvinga Kerberos att använda TCP i stället för UDP i Windows.

  • Post: KdcExtraLogLevel

    • Typ: REG_DWORD

    • Standardvärde: 2

    • Möjliga värden:

      • 1 (decimal) eller 0x1 (hexadecimalt): Okänt SPN-fel i granskning.
      • 2 (decimal) eller 0x2 (hexadecimalt): Logga PKINIT-fel. (PKINIT är ett Internet Engineering Task Force (IETF) Internetutkast för offentlig nyckelkryptografi för inledande autentisering i Kerberos.)
      • 4 (decimal) eller 0x4 (hexadecimalt): Logga alla KDC-fel.
      • 8 (decimal) eller 0x8 (hexadecimal): Logga KDC-varningshändelse 25 i systemloggen när användaren som frågar efter S4U2Self-biljett inte har tillräcklig åtkomst till målanvändaren.
      • 16 (decimal) eller 0x10 (hexadecimala): Logga granskningshändelser på krypteringstyp (ETYPE) och fel med felaktiga alternativ. Det här värdet anger vilken information som KDC skriver i händelseloggar och i granskningar.

  • Post: KdcDebugLevel

    • Typ: REG_DWORD

    • Standardvärde: 1 för kontrollerad version, 0 för kostnadsfri version

      Det här värdet anger om felsökningsloggning är på (1) eller inaktiverad (0).

      Om värdet är 0x10000000 ( hexadecimalt) eller 268435456 (decimal) edata returneras specifik fil- eller radinformation i fältet för KERB_ERRORS som PKERB_EXT_ERROR-fel vid ett fel i KDC-bearbetningen.