Kerberos

Windows 2008R2 中的 Kerberos 超時在哪裡?

  • February 2, 2012

我們有一個 DFS 共享,可將使用者重定向到 EMC CIFS 共享。一些最終使用者無法訪問它並收到以下 Kerberos 安全警告:

系統檢測到危害安全的企圖

我相信這是因為 Kerberos 允許 DC 上的時鐘偏差設置得太低。

我在哪裡設置這個,或者其他哪些項目可能是罪魁禍首?

Shane 對時間偏差的看法是正確的,這可能不是你的問題;順便說一句,預設設置是 5 分鐘容差。

在談論超時時,請注意 Kerberos v5 身份驗證操作的超時值為 30 秒。這可以通過KdcWaitTime域控制器上以下鍵中的值進行調整:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]

另一個問題(儘管在中小型森林中不常見)是 12 KB 的預設令牌大小限制。如果使用者令牌大小超過 12K,您也可能會遇到問題。在此處閱讀有關令牌大小問題的更多資訊

然而,這是猜測,因為您的問題並沒有真正帶來任何有價值的診斷資訊

引用自:https://serverfault.com/questions/356001