Kerberos
Windows 2008R2 中的 Kerberos 超時在哪裡?
我們有一個 DFS 共享,可將使用者重定向到 EMC CIFS 共享。一些最終使用者無法訪問它並收到以下 Kerberos 安全警告:
系統檢測到危害安全的企圖
我相信這是因為 Kerberos 允許 DC 上的時鐘偏差設置得太低。
我在哪裡設置這個,或者其他哪些項目可能是罪魁禍首?
Shane 對時間偏差的看法是正確的,這可能不是你的問題;順便說一句,預設設置是 5 分鐘容差。
在談論超時時,請注意 Kerberos v5 身份驗證操作的超時值為 30 秒。這可以通過
KdcWaitTime
域控制器上以下鍵中的值進行調整:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
另一個問題(儘管在中小型森林中不常見)是 12 KB 的預設令牌大小限制。如果使用者令牌大小超過 12K,您也可能會遇到問題。在此處閱讀有關令牌大小問題的更多資訊
然而,這是猜測,因為您的問題並沒有真正帶來任何有價值的診斷資訊