我们有一个 DFS 共享,可将用户重定向到 EMC CIFS 共享。一些最终用户无法访问它并收到以下 Kerberos 安全警告:
系统检测到试图危害安全的行为
我认为这是因为 DC 上的 Kerberos 允许时钟偏差设置得太低。
我应该在哪里设置它,或者还有哪些其他项目可能是罪魁祸首?
答案1
Shane 对于时间偏差的看法是正确的,这可能不是你的问题;顺便说一下,默认设置是 5 分钟的容差。
谈到超时时,请注意 Kerberos v5 身份验证操作的超时值为 30 秒。可以通过KdcWaitTime
域控制器上以下键中的值进行调整:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
另一个问题(虽然在小型和中型森林中并不常见)是默认令牌大小限制为 12 千字节。如果用户令牌大小超过 12K,您也可能会遇到问题。阅读更多关于此处存在令牌大小问题
但这只是猜测,因为你的问题并没有真正带来任何有价值的诊断信息
答案2
如果时间在一秒以内,那么时钟偏差就不是问题。它可以配置的最敏感度是 1 分钟。
也就是说,该设置位于计算机策略->Windows 设置->安全设置->帐户策略->Kerberos 策略,“计算机时钟同步的最大容忍度”。