Dela via

Kerberos-protokollregisterposter och KDC-konfigurationsnycklar i Windows

I den här artikeln beskrivs registerposter om Kerberos version 5-autentiseringsprotokoll och KDC-konfiguration (Key Distribution Center).

Ursprungligt KB-nummer: 837361

Sammanfattning

Kerberos är en autentiseringsmekanism som används för att verifiera användaren eller värdidentiteten. Kerberos är den föredragna autentiseringsmetoden för tjänster i Windows.

Om du kör Windows kan du ändra Kerberos-parametrarna för att felsöka Kerberos-autentiseringsproblem eller testa Kerberos-protokollet. Det gör du genom att lägga till eller ändra registerposterna som visas i följande avsnitt.

Viktigt!

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför noggrant dessa steg. För extra skydd, säkerhetskopiera registret innan du ändrar det. Då kan du återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret finns i Hur du säkerhetskopierar och återställer registret i Windows.

Kommentar

När du har felsökt eller testat Kerberos-protokollet tar du bort alla registerposter som du lägger till. Annars kan datorns prestanda påverkas.

Registerposter och värden under parameternyckeln

Registerposterna som anges i det här avsnittet måste läggas till i följande registerundernyckel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Kommentar

Om parameternyckeln inte visas under Kerberos måste du skapa nyckeln.

  • Post: SkewTime

    • Typ: REG_DWORD

    • Standardvärde: 5 (minuter)

      Det här värdet är den maximala tidsskillnad som tillåts mellan klientdatorn och servern som accepterar Kerberos-autentisering eller KDC.

      Kommentar

      SkewTime beaktas vid fastställandet av Kerberos-biljettens giltighet för återanvändning. Ett ärende anses ha upphört att gälla om förfallotiden är mindre än den aktuella tiden + SkewTime. Om till exempel SkewTime är inställt på 20 minuter och den aktuella tiden är 08:00 anses alla ärenden med en förfallotid före 08:20 vara förfallna.

  • Post: LogLevel

    • Typ: REG_DWORD

    • Default value: 0

      Det här värdet anger om händelser loggas i systemhändelseloggen. Om det här värdet är inställt på ett värde som inte är noll loggas alla Kerberos-relaterade händelser i systemhändelseloggen.

      Kommentar

      De händelser som loggas kan innehålla falska positiva identifieringar där Kerberos-klienten försöker igen med olika begärandeflaggor som sedan lyckas. Anta därför inte att du har ett Kerberos-problem när du ser en händelse loggad baserat på den här inställningen. Mer information finns i Så här aktiverar du Kerberos-händelseloggning .

  • Post: MaxPacketSize

    • Typ: REG_DWORD

    • Standardvärde: 1 465 (byte)

      Det här värdet är den maximala UDP-paketstorleken (User Datagram Protocol). Om paketstorleken överskrider det här värdet används TCP.

      Standardvärdet för det här värdet i Windows Vista och senare version av Windows är 0, så UDP används aldrig av Windows Kerberos-klienten.

  • Post: StartupTime

    • Typ: REG_DWORD

    • Standardvärde: 120 (sekunder)

      Det här värdet är den tid då Windows väntar på att KDC ska starta innan Windows ger upp.

  • Post: KdcWaitTime

    • Typ: REG_DWORD

    • Standardvärde: 10 (sekunder)

      Det här värdet är den tid då Windows väntar på ett svar från en KDC.

  • Post: KdcBackoffTime

    • Typ: REG_DWORD

    • Standardvärde: 10 (sekunder)

      Det här värdet är tiden mellan efterföljande anrop till KDC om föregående anrop misslyckades.

  • Post: KdcSendRetries

    • Typ: REG_DWORD

    • Standardvärde: 3

      Det här värdet är antalet gånger som en klient försöker kontakta en KDC.

  • Post: DefaultEncryptionType

    • Typ: REG_DWORD

      Det här värdet anger standardkrypteringstypen för förautentisering. Standardvärdet är 18 decimaler för AES256

      Möjliga andra värden:

      • 17 decimaler för AES128
      • 23 decimaler för RC4 HMAC

      Det här värdet anger standardkrypteringstypen för förautentisering.

  • Post: FarKdcTimeout

    • Typ: REG_DWORD

    • Standardvärde: 10 (minuter)

      Det är tidsgränsvärdet som används för att ogiltigförklara en domänkontrollant från en annan plats i domänkontrollantens cacheminne.

  • Post: NearKdcTimeout

    • Typ: REG_DWORD

    • Standardvärde: 30 (minuter)

      Det är tidsgränsvärdet som används för att ogiltigförklara en domänkontrollant på samma plats i domänkontrollantens cacheminne.

  • Post: StronglyEncryptDatagram

    • Typ: REG_BOOL

    • Standardvärde: FALSE

      Det här värdet innehåller en flagga som anger om 128-bitars kryptering ska användas för datagrampaket.

  • Post: MaxReferralCount

    • Typ: REG_DWORD

    • Standardvärde: 6

      Det här värdet är antalet KDC-hänvisningar som en klient utför innan klienten ger upp.

  • Post: MaxTokenSize

  • Post: SpnCacheTimeout

    • Typ: REG_DWORD

    • Standardvärde: 15 minuter

      Det här värdet används av systemet vid rensning av SPN-cacheposter (Service Principal Names). På domänkontrollanter är SPN-cachen inaktiverad. Klienter och medlemsservrar använder det här värdet för att åldersbegränsa och rensa negativa cacheposter (SPN hittades inte). Giltiga SPN-cacheposter (till exempel inte negativ cache) tas inte bort efter 15 minuters skapande. Men SPNCacheTimeout-värdet används också för att minska SPN-cachen till en hanterbar storlek. När SPN-cachen når 350 poster använder systemet det här värdet till scavenge / cleanup gamla och oanvända poster.

  • Post: S4UCacheTimeout

    • Typ: REG_DWORD

    • Standardvärde: 15 minuter

      Det här värdet är livslängden för de negativa S4U-cacheposter som används för att begränsa antalet S4U-proxybegäranden från en viss dator.

  • Post: S4UTicketLifetime

    • Typ: REG_DWORD

    • Standardvärde: 15 minuter

      Det här värdet är livslängden för biljetter som hämtas av S4U-proxybegäranden.

  • Post: RetryPdc

    • Typ: REG_DWORD

    • Standardvärde: 0 (falskt)

    • Möjliga värden: 0 (falskt) eller ett värde som inte är noll (sant)

      Det här värdet anger om klienten kommer att kontakta den primära domänkontrollanten för begäranden om autentiseringstjänst (AS_REQ) om klienten får ett lösenordsfel.

  • Post: RequestOptions

    • Typ: REG_DWORD

    • Standardvärde: Alla RFC 1510-värden

      Det här värdet anger om det finns fler alternativ som måste skickas som KDC-alternativ i Begäranden om biljettbeviljande tjänster (TGS_REQ).

  • Post: ClientIpAddresses

    • Typ: REG_DWORD

    • Standardvärde: 0 (Den här inställningen är 0 på grund av problem med dynamisk värdkonfiguration och problem med nätverksadressöversättning.)

    • Möjliga värden: 0 (falskt) eller ett värde som inte är noll (sant)

      Det här värdet anger om en klient-IP-adress ska läggas till i AS_REQ för att tvinga Caddr fältet att innehålla IP-adresser i alla biljetter.

      För sfärer från tredje part som kräver klientadresser kan du selektivt aktivera adresserna:

      1. Öppna ett fönster för upphöjd kommandotolk.

      2. Kör följande kommando:

        ksetup /setrealmflags <your Kerberos realm name> sendaddress

      3. Du kan använda växeln /server för att låta ksetup göra ändringarna på en fjärrdator.

  • Post: TgtRenewalTime

    • Typ: REG_DWORD

    • Standardvärde: 600 sekunder

      Det här värdet är den tid som Kerberos väntar innan det försöker förnya en biljettbeviljande biljett (TGT) innan biljetten upphör att gälla.

  • Post: AllowTgtSessionKey

    • Typ: REG_DWORD

    • Default value: 0

    • Möjliga värden: 0 (falskt) eller ett värde som inte är noll (sant)

      Det här värdet anger om sessionsnycklar exporteras med inledande eller med TGT-autentisering mellan sfärer. Standardvärdet är falskt av säkerhetsskäl.

      Kommentar

      Med aktiv Credential Guard i Windows 10 och senare versioner av Windows kan du inte längre aktivera delning av TGT-sessionsnycklar med program.

Registerposter och värden under Kdc-nyckeln

Registerposterna som anges i det här avsnittet måste läggas till i följande registerundernyckel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Kommentar

Om Kdc-nyckeln inte visas under Tjänster måste du skapa nyckeln.

  • Post: KdcUseClientAddresses

    • Typ: REG_DWORD

    • Default value: 0

    • Möjliga värden: 0 (falskt) eller ett värde som inte är noll (sant)

      Det här värdet anger om IP-adresser ska läggas till i svaret på den biljettbeviljande tjänsten (TGS_REP).

  • Post: KdcDontCheckAddresses

    • Typ: REG_DWORD

    • Standardvärde: 1

    • Möjliga värden: 0 (falskt) eller ett värde som inte är noll (sant)

      Det här värdet anger om IP-adresser för TGS_REQ och TGT-fältet Caddr ska kontrolleras.

  • Post: NewConnectionTimeout

    • Typ: REG_DWORD

    • Standardvärde: 10 (sekunder)

      Det här värdet är den tid då en inledande TCP-slutpunktsanslutning hålls öppen för att ta emot data innan den kopplas från.

  • Post: MaxDatagramReplySize

    • Typ: REG_DWORD

    • Standardvärde: 1465 (decimal, byte)

      Det här värdet är den maximala UDP-paketstorleken i TGS_REP- och autentiseringstjänstens svarsmeddelanden (AS_REP). Om paketstorleken överskrider det här värdet returnerar KDC ett "KRB_ERR_RESPONSE_TOO_BIG"-meddelande som begär att klienten växlar till TCP.

      Kommentar

      Att öka MaxDatagramReplySize kan öka sannolikheten för att Kerberos UDP-paket fragmenteras.

      Mer information om det här problemet finns i Så här tvingar du Kerberos att använda TCP i stället för UDP i Windows.

  • Post: KdcExtraLogLevel

    • Typ: REG_DWORD

    • Standardvärde: 2

    • Möjliga värden:

      • 1 (decimal) eller 0x1 (hexadecimal): Granska okända SPN-fel i säkerhetshändelseloggen. Händelse-ID 4769 loggas med en misslyckad granskning.
      • 2 (decimal) eller 0x2 (hexadecimal): Logga PKINIT-fel. Detta loggar ett KDC-varningshändelse-ID 21 (aktiverat som standard) till systemhändelseloggen. PKINIT är en Internet Engineering Task Force (IETF) Internet draft for Public Key Cryptography for Initial Authentication in Kerberos.PKINIT is a Internet Engineering Task Force (IETF) Internet draft for Public Key Cryptography for Initial Authentication in Kerberos.
      • 4 (decimal) eller 0x4 (hexadecimal): Logga alla KDC-fel. Detta loggar ett KDC-händelse-ID 24 (exempel på problem som krävs av U2U) till systemhändelseloggen.
      • 8 (decimal) eller 0x8 (hexadecimal): Logga ett KDC-varningshändelse-ID 25 i systemloggen när användaren som frågar efter S4U2Self-biljetten inte har tillräcklig åtkomst till målanvändaren.
      • 16 (decimal) eller 0x10 (hexadecimal): Logga granskningshändelser på krypteringstyp (ETYPE) och fel med felaktiga alternativ. Det här värdet anger vilken information KDC ska skriva till händelseloggar och till granskningar i säkerhetshändelseloggen. Händelse-ID 4769 loggas med en misslyckad granskning.

  • Post: DefaultDomainSupportedEncTypes

    • Typ: REG_DWORD

    • Standardvärde: 0x27

    • Möjliga värden:

      Standardvärdet är 0x27 (DES, RC4, AES-sessionsnycklar). Vi rekommenderar att du ställer in värdet på 0x3C för ökad säkerhet, eftersom det här värdet möjliggör både AES-krypterade biljetter och AES-sessionsnycklar. Om du flyttar till en AES-miljö där RC4 inte används för Kerberos-protokollet rekommenderar vi att du anger värdet till 0x38.

      Det här värdet anger AES som standardkrypteringstyp för sessionsnycklar på konton som inte har markerats med en standardkrypteringstyp.

      Mer information finns i KB5021131: Hantera Kerberos-protokolländringar relaterade till CVE-2022-37966.