Onde estão os tempos limite do Kerberos no Windows 2008R2?

Navegue suas respostas
1

Temos um compartilhamento DFS que redireciona os usuários para um compartilhamento EMC CIFS. Vários usuários finais não podem acessá-lo e receber o seguinte aviso de Segurança do Kerberos:

The System Detected an attempt to compromise security

Eu acredito que é porque o Kerberos permitiu que o clock do DC esteja ajustado muito baixo.

Onde eu configuro isso, ou que outros itens podem ser os culpados?

    
por random65537 01.02.2012 / 23:50

2 respostas

2

Shane está certo sobre o tempo de inclinação, provavelmente não é o seu problema; a configuração padrão é 5 minutos de tolerância btw.

Ao falar sobre tempos de espera, saiba que o valor do tempo limite para uma operação de autenticação do Kerberos v5 é de 30 segundos. Isso pode ser ajustado pelo valor KdcWaitTime na seguinte chave no Controlador de Domínio: 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]

Outro problema (embora incomum em florestas pequenas e médias) é a limitação de tamanho padrão do token de 12 kilobytes. Se o tamanho do token do usuário exceder 12K, você também poderá ter problemas. Leia mais sobre o problema de tamanho do token aqui

No entanto, isso é uma adivinhação, já que sua pergunta realmente não traz informações valiosas de diagnóstico para a mesa

    
por 02.02.2012 / 00:49
3

Se o tempo estiver dentro de um segundo, a distorção do relógio não é o seu problema. O mais sensível que pode ser configurado é de 1 minuto.

Dito isto, a configuração está localizada em Políticas do Computador - > Configurações do Windows - > Configurações de segurança - > Políticas de conta - > Diretiva do Kerberos, "Máxima tolerância para a sincronização do relógio do computador".

    
por 02.02.2012 / 00:31

Tags

Como delegar NS para o ápice? Failover de Nível de IP para Servidores Web com BGP (Estou Insano?)