Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden registervermeldingen beschreven over kerberos versie 5-verificatieprotocol en KDC-configuratie (Key Distribution Center).
Oorspronkelijk KB-nummer: 837361
Samenvatting
Kerberos is een verificatiemechanisme dat wordt gebruikt om de gebruikers- of hostidentiteit te verifiëren. Kerberos is de voorkeursmethode voor verificatie voor services in Windows.
Als u Windows gebruikt, kunt u de Kerberos-parameters wijzigen om kerberos-verificatieproblemen op te lossen of om het Kerberos-protocol te testen. Hiervoor voegt u de registervermeldingen toe of wijzigt u deze in de volgende secties.
Belangrijk
Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Zorg er daarom voor dat u de volgende stappen zorgvuldig volgt. Voor optimale veiligheid maakt u dagelijks een back-up van het register voordat u het wijzigt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Raadpleeg Een back-up maken van en het herstellen van het register in Windows voor meer informatie over het maken van een back-up en het herstellen van het register.
Notitie
Nadat u klaar bent met het oplossen van problemen of het testen van het Kerberos-protocol, verwijdert u alle registervermeldingen die u toevoegt. Anders kunnen de prestaties van uw computer worden beïnvloed.
Registervermeldingen en -waarden onder de parametersleutel
De registervermeldingen die in deze sectie worden vermeld, moeten worden toegevoegd aan de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Notitie
Als de parametersleutel niet wordt vermeld onder Kerberos, moet u de sleutel maken.
Vermelding: Scheefheidstijd
Type: REG_DWORD
Standaardwaarde: 5 (minuten)
Deze waarde is het maximale tijdsverschil dat is toegestaan tussen de clientcomputer en de server die Kerberos-verificatie of de KDC accepteert.
Notitie
De Scheefheidstijd wordt overwogen bij het bepalen van de geldigheid van kerberos-tickets voor hergebruik. Een ticket wordt beschouwd als verlopen als de verlooptijd kleiner is dan de huidige tijd + de scheeftrekken. Als de scheefheid bijvoorbeeld is ingesteld op 20 minuten en de huidige tijd 08:00 is, wordt een ticket met een verlooptijd voor 08:20 als verlopen beschouwd.
Vermelding: LogLevel
Type: REG_DWORD
Standaardwaarde: 0
Deze waarde geeft aan of gebeurtenissen zijn vastgelegd in het systeemgebeurtenislogboek. Als deze waarde is ingesteld op een waarde die niet nul is, worden alle Kerberos-gerelateerde gebeurtenissen vastgelegd in het gebeurtenislogboek van het systeem.
Notitie
De vastgelegde gebeurtenissen kunnen fout-positieven bevatten, waarbij de Kerberos-client nieuwe pogingen uitvoert met verschillende aanvraagvlagmen die vervolgens slagen. Neem daarom niet aan dat u een Kerberos-probleem hebt wanneer u een gebeurtenis ziet die is geregistreerd op basis van deze instelling. Zie Kerberos-gebeurtenislogboekregistratie inschakelen voor meer informatie.
Vermelding: MaxPacketSize
Type: REG_DWORD
Standaardwaarde: 1465 (bytes)
Deze waarde is de maximale UDP-pakketgrootte (User Datagram Protocol). Als de pakketgrootte deze waarde overschrijdt, wordt TCP gebruikt.
De standaardwaarde voor deze waarde in Windows Vista en latere versie van Windows is 0, dus UDP wordt nooit gebruikt door de Windows Kerberos-client.
Vermelding: StartupTime
Type: REG_DWORD
Standaardwaarde: 120 (seconden)
Deze waarde is de tijd waarop Windows wacht totdat de KDC wordt gestart voordat Windows opgeeft.
Vermelding: KdcWaitTime
Type: REG_DWORD
Standaardwaarde: 10 (seconden)
Deze waarde is de tijd dat Windows wacht op een reactie van een KDC.
Vermelding: KdcBackoffTime
Type: REG_DWORD
Standaardwaarde: 10 (seconden)
Deze waarde is de tijd tussen opeenvolgende aanroepen naar de KDC als de vorige aanroep is mislukt.
Vermelding: KdcSendRetries
Type: REG_DWORD
Standaardwaarde: 3
Deze waarde is het aantal keren dat een client probeert contact op te maken met een KDC.
Vermelding: DefaultEncryptionType
Type: REG_DWORD
Deze waarde geeft het standaardversleutelingstype voor verificatie vooraf aan. De standaardwaarde is 18 decimaal voor AES256
Mogelijke andere waarden:
- 17 decimaal voor AES128
- 23 decimaal voor RC4 HMAC
Deze waarde geeft het standaardversleutelingstype voor verificatie vooraf aan.
Vermelding: FarKdcTimeout
Type: REG_DWORD
Standaardwaarde: 10 (minuten)
Dit is de time-outwaarde die wordt gebruikt om een domeincontroller van een andere site in de cache van de domeincontroller ongeldig te maken.
Vermelding: NearKdcTimeout
Type: REG_DWORD
Standaardwaarde: 30 (minuten)
Dit is de time-outwaarde die wordt gebruikt om een domeincontroller in dezelfde site in de cache van de domeincontroller ongeldig te maken.
Vermelding: StronglyEncryptDatagram
Type: REG_BOOL
Standaardwaarde: ONWAAR
Deze waarde bevat een vlag die aangeeft of 128-bits versleuteling moet worden gebruikt voor datagrampakketten.
Vermelding: MaxReferralCount
Type: REG_DWORD
Standaardwaarde: 6
Deze waarde is het aantal KDC-verwijzingen dat een client nastreeft voordat de client opgeeft.
Vermelding: MaxTokenSize
Type: REG_DWORD
Standaardwaarde: 12000 (decimaal). Vanaf Windows Server 2012 en Windows 8 is de standaardwaarde 48000.
Deze waarde is de maximumwaarde van het Kerberos-token. Microsoft raadt u aan deze waarde in te stellen op minder dan 65535. Zie Problemen met Kerberos-verificatie wanneer een gebruiker deel uitmaakt van veel groepen voor meer informatie.
Vermelding: SpnCacheTimeout
Type: REG_DWORD
Standaardwaarde: 15 minuten
Deze waarde wordt door het systeem gebruikt bij het opschonen van SPN-cachevermeldingen (Service Principal Names). Op domeincontrollers is de SPN-cache uitgeschakeld. Clients en lidservers gebruiken deze waarde om negatieve cachevermeldingen te verouderen en leeg te maken (SPN is niet gevonden). Geldige SPN-cachevermeldingen (bijvoorbeeld geen negatieve cache) worden na 15 minuten niet verwijderd. De waarde SPNCacheTimeout wordt echter ook gebruikt om de SPN-cache te verminderen tot een beheersbare grootte. Wanneer de SPN-cache 350 vermeldingen bereikt, gebruikt het systeem deze waarde voor
scavenge / cleanupoude en ongebruikte vermeldingen.
Vermelding: S4UCacheTimeout
Type: REG_DWORD
Standaardwaarde: 15 minuten
Deze waarde is de levensduur van de S4U-negatieve cachevermeldingen die worden gebruikt om het aantal S4U-proxyaanvragen van een bepaalde computer te beperken.
Vermelding: S4UTicketLifetime
Type: REG_DWORD
Standaardwaarde: 15 minuten
Deze waarde is de levensduur van tickets die worden verkregen door S4U-proxyaanvragen.
Vermelding: RetryPdc
Type: REG_DWORD
Standaardwaarde: 0 (onwaar)
Mogelijke waarden: 0 (onwaar) of een niet-nulwaarde (waar)
Deze waarde geeft aan of de client contact opneemt met de primaire domeincontroller voor verificatieserviceaanvragen (AS_REQ) als de client een wachtwoordverloopfout ontvangt.
Vermelding: RequestOptions
Type: REG_DWORD
Standaardwaarde: elke RFC 1510-waarde
Deze waarde geeft aan of er meer opties zijn die moeten worden verzonden als KDC-opties in aanvragen van ticket granting service (TGS_REQ).
Vermelding: ClientIpAddresses
Type: REG_DWORD
Standaardwaarde: 0 (deze instelling is 0 vanwege dynamic Host Configuration Protocol en problemen met netwerkomzetting.)
Mogelijke waarden: 0 (onwaar) of een niet-nulwaarde (waar)
Deze waarde geeft aan of een client-IP-adres wordt toegevoegd in AS_REQ om af te dwingen dat het
Caddrveld IP-adressen in alle tickets bevat.Voor realms van derden waarvoor clientadressen zijn vereist, kunt u de adressen selectief inschakelen:
Open een opdrachtpromptvenster met verhoogde bevoegdheid.
Voer de volgende opdracht uit:
ksetup /setrealmflags <your Kerberos realm name> sendaddressU kunt de
/serverschakeloptie gebruiken om ksetup de wijzigingen op een externe computer te laten aanbrengen.
Vermelding: TgtRenewalTime
Type: REG_DWORD
Standaardwaarde: 600 seconden
Deze waarde is het tijdstip waarop Kerberos wacht voordat wordt geprobeerd een Ticket Granting Ticket (TGT) te vernieuwen voordat het ticket verloopt.
Vermelding: AllowTgtSessionKey
Type: REG_DWORD
Standaardwaarde: 0
Mogelijke waarden: 0 (onwaar) of een niet-nulwaarde (waar)
Deze waarde geeft aan of sessiesleutels worden geëxporteerd met initiële of met TGT-verificatie tussen realms. De standaardwaarde is om veiligheidsredenen onwaar.
Notitie
Met actieve Credential Guard in Windows 10 en nieuwere versies van Windows kunt u het delen van de TGT-sessiesleutels niet meer met toepassingen inschakelen.
Registervermeldingen en -waarden onder de Kdc-sleutel
De registervermeldingen die in deze sectie worden vermeld, moeten worden toegevoegd aan de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Notitie
Als de Kdc-sleutel niet wordt vermeld onder Services, moet u de sleutel maken.
Vermelding: KdcUseClientAddresses
Type: REG_DWORD
Standaardwaarde: 0
Mogelijke waarden: 0 (onwaar) of een niet-nulwaarde (waar)
Deze waarde geeft aan of IP-adressen worden toegevoegd aan het antwoord van de ticket-granting-service (TGS_REP).
Vermelding: KdcDontCheckAddresses
Type: REG_DWORD
Standaardwaarde: 1
Mogelijke waarden: 0 (onwaar) of een niet-nulwaarde (waar)
Deze waarde geeft aan of IP-adressen voor de TGS_REQ en het TGT-veld
Caddrworden gecontroleerd.
Vermelding: NewConnectionTimeout
Type: REG_DWORD
Standaardwaarde: 10 (seconden)
Deze waarde is het tijdstip waarop een eerste TCP-eindpuntverbinding open blijft om gegevens te ontvangen voordat de verbinding wordt verbroken.
Vermelding: MaxDatagramReplySize
Type: REG_DWORD
Standaardwaarde: 1465 (decimaal, bytes)
Deze waarde is de maximale UDP-pakketgrootte in TGS_REP- en Authentication Service-antwoorden (AS_REP)-berichten. Als de pakketgrootte deze waarde overschrijdt, retourneert de KDC een 'KRB_ERR_RESPONSE_TOO_BIG'-bericht dat vraagt dat de client overschakelt naar TCP.
Notitie
Het verhogen van MaxDatagramReplySize kan de kans vergroten dat Kerberos UDP-pakketten worden gefragmenteerd.
Zie Kerberos dwingen TCP te gebruiken in plaats van UDP in Windows voor meer informatie over dit probleem.
Vermelding: KdcExtraLogLevel
Type: REG_DWORD
Standaardwaarde: 2
Mogelijke waarden:
- 1 (decimaal) of 0x1 (hexadecimaal): Controleer onbekende SPN-fouten in het beveiligingsgebeurtenislogboek. Gebeurtenis-id 4769 wordt vastgelegd met een mislukte controle.
- 2 (decimaal) of 0x2 (hexadecimaal): PKINIT-fouten in logboeken. Hiermee wordt een KDC-waarschuwings-id 21 (standaard ingeschakeld) vastgelegd in het gebeurtenislogboek van het systeem. PKINIT is een Internet Engineering Task Force (IETF) internetconcept voor openbare-sleutelcryptografie voor initiële verificatie in Kerberos.
- 4 (decimaal) of 0x4 (hexadecimaal): alle KDC-fouten registreren. Hiermee wordt een KDC-gebeurtenis-id 24 (voorbeeld van U2U-vereiste problemen) vastgelegd in het gebeurtenislogboek van het systeem.
- 8 (decimaal) of 0x8 (hexadecimaal): Een KDC-waarschuwingsgebeurtenis-id 25 in het systeemlogboek registreren wanneer de gebruiker die om het S4U2Self-ticket vraagt, niet voldoende toegang heeft tot de doelgebruiker.
- 16 (decimaal) of 0x10 (hexadecimaal): Logboekcontrolegebeurtenissen voor versleutelingstype (ETYPE) en fouten met ongeldige opties. Deze waarde geeft aan welke informatie de KDC naar gebeurtenislogboeken schrijft en naar controles in het gebeurtenislogboek van de beveiliging. Gebeurtenis-id 4769 wordt vastgelegd met een mislukte controle.
Vermelding: DefaultDomainSupportedEncTypes
Type: REG_DWORD
Standaardwaarde: 0x27
Mogelijke waarden:
De standaardwaarde is 0x27 (DES, RC4, AES-sessiesleutels). We raden u aan om de waarde in te stellen op 0x3C voor een betere beveiliging, omdat deze waarde zowel AES-versleutelde tickets als AES-sessiesleutels toestaat. Als u overstapt naar een AES-omgeving waarin RC4 niet wordt gebruikt voor het Kerberos-protocol, raden we u aan om de waarde in te stellen op 0x38.
Met deze waarde wordt AES ingesteld als het standaardversleutelingstype voor sessiesleutels voor accounts die niet zijn gemarkeerd met een standaardversleutelingstype.
Zie KB5021131 voor meer informatie: De wijzigingen in het Kerberos-protocol met betrekking tot CVE-2022-37966 beheren.