我们有一个将用户redirect到EMC CIFS共享的DFS共享。 有几个最终用户无法访问它,并获得以下Kerberos安全警告:
系统检测到危及安全的企图
我相信这是因为Kerberos允许DC上的时钟歪斜设置得太低。
我在哪里设置,或者其他项目可能是罪魁祸首?
谢恩对时间偏移是正确的,这可能不是你的问题; 默认设置是5分钟的顺便说一句。
在谈到超时时,请注意,Kerberos v5身份validation操作的超时值是30秒。 这可以通过域控制器上以下项中的KdcWaitTime值进行调整:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
另一个问题(虽然在中小型森林中并不常见),默认令牌大小限制为12千字节。 如果用户令牌大小超过12K,则可能会遇到问题。 在这里阅读更多有关令牌大小的问题
然而,这是猜测,因为你的问题并没有给表格带来任何有价值的诊断信息
如果时间在一秒之内,那么时钟偏斜不是你的问题。 最敏感的是它可以configuration为1分钟。
也就是说,该设置位于计算机策略 – > Windows设置 – >安全设置 – >帐户策略 – > Kerberos策略中,“计算机时钟同步的最大容差”。