Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden Registrierungseinträge zur Konfiguration des Kerberos-Authentifizierungsprotokolls der Version 5 und der Schlüsselverteilungscenter (Key Distribution Center, KDC) beschrieben.
Ursprüngliche KB-Nummer: 837361
Übersicht
Kerberos ist ein Authentifizierungsmechanismus, der zum Überprüfen der Benutzer- oder Hostidentität verwendet wird. Kerberos ist die bevorzugte Authentifizierungsmethode für Dienste in Windows.
Wenn Sie mit Windows arbeiten, können Sie die Kerberos-Parameter ändern, um Probleme mit der Kerberos-Authentifizierung zu beheben oder das Kerberos-Protokoll zu testen. Fügen Sie dazu die Registrierungseinträge hinzu, die in den folgenden Abschnitten aufgeführt sind, oder ändern Sie sie.
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.
Notiz
Nachdem Sie die Problembehandlung abgeschlossen oder das Kerberos-Protokoll getestet haben, entfernen Sie alle Registrierungseinträge, die Sie hinzufügen. Andernfalls kann die Leistung Ihres Computers beeinträchtigt werden.
Registrierungseinträge und -werte unter dem Parameter-Schlüssel
Die Registrierungseinträge, die in diesem Abschnitt aufgeführt sind, müssen dem folgenden Registrierungsunterschlüssel hinzugefügt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Notiz
Wenn der Parameterschlüssel nicht unter Kerberos aufgeführt ist, müssen Sie den Schlüssel erstellen.
Eintrag: SkewTime
Typ: REG_DWORD
Standardwert: 5 (Minuten)
Dieser Wert ist der maximale Zeitunterschied, der zwischen dem Clientcomputer und dem Server zulässig ist, der kerberos-Authentifizierung oder KDC akzeptiert.
Notiz
Die SkewTime wird bei der Bestimmung der Gültigkeit des Kerberos-Tickets für die Wiederverwendung berücksichtigt. Ein Ticket gilt als abgelaufen, wenn die Ablaufzeit kleiner als die aktuelle Uhrzeit und die SkewTime ist. Wenn z. B. die SkewTime auf 20 Minuten festgelegt ist und die aktuelle Uhrzeit 08:00 beträgt, wird jedes Ticket mit einer Ablaufzeit vor 08:20 als abgelaufen betrachtet.
Eintrag: LogLevel
Typ: REG_DWORD
Standardwert: 0
Dieser Wert gibt an, ob Ereignisse im Systemereignisprotokoll protokolliert werden. Wenn dieser Wert auf einen Wert ungleich Null festgelegt ist, werden alle Kerberos-bezogenen Ereignisse im Systemereignisprotokoll protokolliert.
Notiz
Die protokollierten Ereignisse können falsch positive Ergebnisse enthalten, bei denen der Kerberos-Client mit verschiedenen Anforderungskennzeichnungen erneut ausgeführt wird, die dann erfolgreich sind. Gehen Sie daher nicht davon aus, dass ein Kerberos-Problem vorliegt, wenn ein ereignis basierend auf dieser Einstellung protokolliert wird. Weitere Informationen finden Sie unter Aktivieren der Kerberos-Ereignisprotokollierung .
Entry: MaxPacketSize
Typ: REG_DWORD
Standardwert: 1465 (Bytes)
Dieser Wert ist die maximale Größe des UDP-Pakets (User Datagram Protocol). Wenn die Paketgröße diesen Wert überschreitet, wird TCP verwendet.
Der Standardwert für diesen Wert in Windows Vista und höherer Version von Windows ist 0, sodass UDP nie vom Windows Kerberos-Client verwendet wird.
Eintrag: StartupTime
Typ: REG_DWORD
Standardwert: 120 (Sekunden)
Dieser Wert ist die Zeit, zu der Windows wartet, bis der KDC gestartet wird, bevor Windows aufgibt.
Eintrag: KdcWaitTime
Typ: REG_DWORD
Standardwert: 10 (Sekunden)
Dieser Wert ist die Zeit, zu der Windows auf eine Antwort von einem KDC wartet.
Eintrag: KdcBackoffTime
Typ: REG_DWORD
Standardwert: 10 (Sekunden)
Dieser Wert ist die Zeit zwischen aufeinander folgenden Aufrufen des KDC, wenn der vorherige Aufruf fehlgeschlagen ist.
Eintrag: KdcSendRetries
Typ: REG_DWORD
Standardwert: 3
Dieser Wert ist die Häufigkeit, mit der ein Client versucht, einen KDC zu kontaktieren.
Entry: DefaultEncryptionType
Typ: REG_DWORD
Dieser Wert gibt den Standardverschlüsselungstyp für die Vorauthentifizierung an. Standardwert ist 18 Dezimalzahl für AES256
Mögliche andere Werte:
- 17 Dezimalzahl für AES128
- 23 Dezimalstellen für RC4 HMAC
Dieser Wert gibt den Standardverschlüsselungstyp für die Vorauthentifizierung an.
Eintrag: FarKdcTimeout
Typ: REG_DWORD
Standardwert: 10 (Minuten)
Es ist der Timeoutwert, der verwendet wird, um einen Domänencontroller von einem anderen Standort im Domänencontrollercache ungültig zu machen.
Eintrag: NearKdcTimeout
Typ: REG_DWORD
Standardwert: 30 (Minuten)
Es ist der Timeoutwert, der verwendet wird, um einen Domänencontroller am gleichen Standort im Domänencontrollercache ungültig zu machen.
Eintrag: StronglyEncryptDatagram
Typ: REG_BOOL
Standardwert: FALSE
Dieser Wert enthält ein Flag, das angibt, ob die 128-Bit-Verschlüsselung für Datagrammpakete verwendet werden soll.
Eintrag: MaxReferralCount
Typ: REG_DWORD
Standardwert: 6
Dieser Wert ist die Anzahl der KDC-Verweise, die ein Client verfolgt, bevor der Client aufgibt.
Eintrag: MaxTokenSize
Typ: REG_DWORD
Standardwert: 12000 (Dezimalzahl). Ab Windows Server 2012 und Windows 8 ist der Standardwert 48000.
Dieser Wert ist der Maximalwert des Kerberos-Tokens. Microsoft empfiehlt, diesen Wert auf weniger als 65535 festzulegen. Weitere Informationen finden Sie unter Probleme mit der Kerberos-Authentifizierung, wenn ein Benutzer zu vielen Gruppen gehört.
Eintrag: SpnCacheTimeout
Typ: REG_DWORD
Standardwert: 15 Minuten
Dieser Wert wird vom System beim Löschen von SpN-Cacheeinträgen (Service Principal Names) verwendet. Auf Domänencontrollern ist der SPN-Cache deaktiviert. Clients und Memberserver verwenden diesen Wert, um negative Cacheeinträge zu löschen (SPN wurde nicht gefunden). Gültige SPN-Cacheeinträge (z. B. kein negativer Cache) werden nach 15 Minuten Erstellung nicht gelöscht. Der WERT "SPNCacheTimeout" wird jedoch auch verwendet, um den SPN-Cache auf eine verwaltbare Größe zu reduzieren. Wenn der SPN-Cache 350 Einträge erreicht, verwendet das System diesen Wert für
scavenge / cleanupalte und nicht verwendete Einträge.
Eintrag: S4UCacheTimeout
Typ: REG_DWORD
Standardwert: 15 Minuten
Dieser Wert ist die Lebensdauer der S4U-negativen Cacheeinträge, die verwendet werden, um die Anzahl der S4U-Proxyanforderungen von einem bestimmten Computer einzuschränken.
Eintrag: S4UTicketLifetime
Typ: REG_DWORD
Standardwert: 15 Minuten
Dieser Wert ist die Lebensdauer von Tickets, die von S4U-Proxyanforderungen abgerufen werden.
Eintrag: RetryPdc
Typ: REG_DWORD
Standardwert: 0 (false)
Mögliche Werte: 0 (false) oder ein beliebiger Wert ungleich Null (true)
Dieser Wert gibt an, ob der Client den primären Domänencontroller für Authentifizierungsdienstanforderungen (AS_REQ) kontaktiert, wenn der Client einen Kennwortablauffehler erhält.
Eintrag: RequestOptions
Typ: REG_DWORD
Standardwert: Beliebiger RFC 1510-Wert
Dieser Wert gibt an, ob es weitere Optionen gibt, die als KDC-Optionen in Ticket granting Service-Anforderungen (TGS_REQ) gesendet werden müssen.
Eintrag: ClientIpAddresses
Typ: REG_DWORD
Standardwert: 0 (Diese Einstellung ist 0 aufgrund von Übersetzungsproblemen im Dynamic Host Configuration Protocol und Netzwerk).
Mögliche Werte: 0 (false) oder ein beliebiger Wert ungleich Null (true)
Dieser Wert gibt an, ob eine Client-IP-Adresse in AS_REQ hinzugefügt wird, um zu erzwingen, dass das
CaddrFeld IP-Adressen in allen Tickets enthält.Für Drittanbieter-Bereiche, die Clientadressen erfordern, können Sie die Adressen selektiv aktivieren:
Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten.
Führen Sie den folgenden Befehl aus:
ksetup /setrealmflags <your Kerberos realm name> sendaddressSie können den
/serverSchalter verwenden, damit ksetup die Änderungen auf einem Remotecomputer vornehmen kann.
Eintrag: TgtRenewalTime
Typ: REG_DWORD
Standardwert: 600 Sekunden
Dieser Wert ist die Zeit, zu der Kerberos wartet, bevor versucht wird, ein Ticket granting Ticket (TGT) zu verlängern, bevor das Ticket abläuft.
Entry: AllowTgtSessionKey
Typ: REG_DWORD
Standardwert: 0
Mögliche Werte: 0 (false) oder ein beliebiger Wert ungleich Null (true)
Dieser Wert gibt an, ob Sitzungsschlüssel mit der anfänglichen oder mit cross-bereichsübergreifendeR TGT-Authentifizierung exportiert werden. Der Standardwert ist aus Sicherheitsgründen falsch.
Notiz
Mit aktiven Credential Guard in Windows 10 und höheren Versionen von Windows können Sie die Freigabe der TGT-Sitzungsschlüssel für Anwendungen nicht mehr aktivieren.
Registrierungseinträge und -werte unter dem Kdc-Schlüssel
Die Registrierungseinträge, die in diesem Abschnitt aufgeführt sind, müssen dem folgenden Registrierungsunterschlüssel hinzugefügt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Notiz
Wenn der Kdc-Schlüssel nicht unter "Dienste" aufgeführt ist, müssen Sie den Schlüssel erstellen.
Eintrag: KdcUseClientAddresses
Typ: REG_DWORD
Standardwert: 0
Mögliche Werte: 0 (false) oder ein beliebiger Wert ungleich Null (true)
Dieser Wert gibt an, ob ip-Adressen in der Antwort auf den Ticketgewährungsdienst (TGS_REP) hinzugefügt werden.
Eintrag: KdcDontCheckAddresses
Typ: REG_DWORD
Standardwert: 1
Mögliche Werte: 0 (false) oder ein beliebiger Wert ungleich Null (true)
Dieser Wert gibt an, ob IP-Adressen für die TGS_REQ und das Feld TGT
Caddrüberprüft werden.
Eintrag: NewConnectionTimeout
Typ: REG_DWORD
Standardwert: 10 (Sekunden)
Dieser Wert ist der Zeitpunkt, zu dem eine anfängliche TCP-Endpunktverbindung geöffnet gehalten wird, um Daten zu empfangen, bevor die Verbindung getrennt wird.
Eintrag: MaxDatagramReplySize
Typ: REG_DWORD
Standardwert: 1465 (Dezimalzahl, Bytes)
Dieser Wert ist die maximale UDP-Paketgröße in TGS_REP- und Authentifizierungsdienstantworten (AS_REP) Nachrichten. Wenn die Paketgröße diesen Wert überschreitet, gibt der KDC eine Meldung vom Typ "KRB_ERR_RESPONSE_TOO_BIG" zurück, die anfordert, dass der Client zu TCP wechselt.
Notiz
Das Erhöhen von MaxDatagramReplySize kann die Wahrscheinlichkeit erhöhen, dass Kerberos-UDP-Pakete fragmentiert werden.
Weitere Informationen zu diesem Problem finden Sie unter So wird's gemacht: Erzwingen der Verwendung von TCP anstelle von UDP in Windows.
Eintrag: KdcExtraLogLevel
Typ: REG_DWORD
Standardwert: 2
Mögliche Werte:
- 1 (dezimal) oder 0x1 (hexadezimal): Unbekannte SPN-Fehler im Sicherheitsereignisprotokoll überwachen. Ereignis-ID 4769 wird mit einer fehlgeschlagenen Überwachung protokolliert.
- 2 (dezimal) oder 0x2 (hexadezimal): Protokoll-PKINIT-Fehler. Dadurch wird eine KDC-Warnungsereignis-ID 21 (standardmäßig aktiviert) im Systemereignisprotokoll protokolliert. PKINIT ist ein Internet Engineering Task Force (IETF)-Internetentwurf für public Key Cryptography for Initial Authentication in Kerberos.
- 4 (dezimal) oder 0x4 (hexadezimal): Protokollieren Sie alle KDC-Fehler. Dadurch wird eine KDC-Ereignis-ID 24 (Beispiel für U2U-erforderliche Probleme) im Systemereignisprotokoll protokolliert.
- 8 (dezimal) oder 0x8 (hexadezimal): Protokollieren Sie eine KDC-Warnungsereignis-ID 25 im Systemprotokoll, wenn der Benutzer, der das S4U2Self-Ticket fragt, nicht über ausreichenden Zugriff auf den Zielbenutzer verfügt.
- 16 (dezimal) oder 0x10 (hexadezimal): Protokollieren von Überwachungsereignissen bei Verschlüsselungstyp (ETYPE) und fehlerhaften Optionen. Dieser Wert gibt an, welche Informationen der KDC in Ereignisprotokolle schreibt und in Überwachungsvorgänge im Sicherheitsereignisprotokoll. Ereignis-ID 4769 wird mit einer fehlgeschlagenen Überwachung protokolliert.
Eintrag: DefaultDomainSupportedEncTypes
Typ: REG_DWORD
Standardwert: 0x27
Mögliche Werte:
Der Standardwert ist 0x27 (DES, RC4, AES-Sitzungsschlüssel). Es wird empfohlen, den Wert für erhöhte Sicherheit auf 0x3C festzulegen, da dieser Wert sowohl AES-verschlüsselte Tickets als auch AES-Sitzungsschlüssel zulässt. Wenn Sie zu einer AES-only-Umgebung wechseln, in der RC4 nicht für das Kerberos-Protokoll verwendet wird, empfehlen wir, den Wert auf 0x38 festzulegen.
Dieser Wert legt AES als Standardverschlüsselungstyp für Sitzungsschlüssel für Konten fest, die nicht mit einem Standardverschlüsselungstyp gekennzeichnet sind.
Weitere Informationen finden Sie unter KB5021131: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37966.