"KDC で信頼性情報、複合認証、および Kerberos 防御をサポートする"(Windows グループポリシー)に関して説明します。
スポンサード リンク
カテゴリ:
KDC設定値:
KDC で信頼性情報、複合認証、および Kerberos 防御をサポートするパス:
コンピュータの構成\管理用テンプレート\\システム\KDCグループポリシエディタの説明:
このポリシー設定では、Kerberos 認証を使用して、ダイナミック アクセス制御の信頼性情報と複合認証、および Kerberos 防御をサポートするように、ドメイン コントローラーを構成できます。このポリシー設定を有効にすると、ダイナミック アクセス制御の信頼性情報と複合認証をサポートする、Kerberos 防御対応のクライアント コンピューターでは、Kerberos 認証メッセージに対してこの機能が使用されます。ドメイン内でこのポリシーを一貫して適用するには、すべてのドメイン コントローラーにこのポリシー設定を適用する必要があります。このポリシー設定を無効にした場合、または構成しなかった場合、ドメイン コントローラーでは、信頼性情報、複合認証、または防御はサポートされません。[サポートなし] オプションを構成した場合、ドメイン コントローラーでは信頼性情報、複合認証、防御のいずれもサポートされません。これは、Windows Server 2008 R2 以前のオペレーティング システムを実行しているドメイン コントローラーの既定の動作です。注: KDC ポリシーの以下のオプションを有効にするには、サポートされるシステムで Kerberos グループ ポリシーの [Kerberos クライアントで信頼性情報、複合認証、および Kerberos 防御をサポートする] を有効にする必要があります。この Kerberos ポリシー設定が有効でない場合、Kerberos 認証メッセージでこれらの機能は使用されません。[サポート] を構成した場合、ドメイン コントローラーで信頼性情報、複合認証、および Kerberos 防御がサポートされます。ドメイン コントローラーは、ドメインがダイナミック アクセス制御の信頼性情報と複合認証、および Kerberos 防御に対応していることを Kerberos クライアント コンピューターにアドバタイズします。ドメインの機能レベル要件[常に信頼性情報を提供する] および [防御されていない要求を失敗とする] オプションについては、ドメインの機能レベルが Windows Server 2008 R2 以前に設定されている場合、ドメイン コントローラーの動作は [サポート] が選択されているときと同じになります。ドメインの機能レベルが Windows Server 2012 に設定され、ドメイン コントローラーで、ドメインがダイナミック アクセス制御の信頼性情報と複合認証、および Kerberos 防御に対応していることを Kerberos クライアント コンピューターにアドバタイズする場合:- [常に信頼性情報を提供する] オプションを設定すると、アカウントに関する信頼性情報が必ず返されます。また、フレキシブル認証セキュア トンネリング (FAST: Flexible Authentication Secure Tunneling) のアドバタイズに関する RFC 動作がサポートされます。- [防御されていない要求を失敗とする] オプションを設定すると、防御されていない Kerberos メッセージが拒否されます。警告: [防御されていない要求を失敗とする] が設定されていると、Kerberos 防御をサポートしていないクライアント コンピューターはドメイン コントローラーに認証されません。この機能が確実に使用されるようにするには、ダイナミック アクセス制御の信頼性情報と複合認証をサポートする、Kerberos 防御対応のドメイン コントローラーを、認証要求を処理するのに十分な数だけ展開します。このポリシーをサポートするドメイン コントローラーの数が不足している場合に、ダイナミック アクセス制御または Kerberos 防御が要求されると (つまり、[サポート] オプションが有効になると)、認証エラーが発生します。このポリシー設定が有効になっている場合のドメイン コントローラーのパフォーマンスに対する影響:- セキュリティで保護された Kerberos ドメイン機能の検出が必要になり、メッセージ交換が別途発生します。- ダイナミック アクセス制御の信頼性情報と複合認証によってメッセージのデータのサイズおよび複雑さが増すため、処理時間が長くなるほか、Kerberos サービス チケットのサイズが大きくなります。- Kerberos 防御では Kerberos メッセージを完全に暗号化し、Kerberos のエラーに署名するため、処理時間が長くなります。ただし、サービス チケットのサイズは変わりません。
スポンサード リンク