У нас есть общий ресурс DFS, который перенаправляет пользователей на общий ресурс EMC CIFS. Некоторые конечные пользователи не могут получить к нему доступ и получают следующее предупреждение Kerberos Security:
Система обнаружила попытку нарушения безопасности
Я считаю, что это потому, что допустимый сдвиг тактовой частоты Kerberos на контроллерах домена установлен слишком низко.
Где это установить или какие еще предметы могут быть виноваты?
Если время в пределах секунды, то проблема не в смещении часов. Самый чувствительный, на который его можно настроить, - 1 минута.
Тем не менее, этот параметр находится в разделе Политики компьютера -> Параметры Windows -> Параметры безопасности -> Политики учетных записей -> Политика Kerberos, "Максимальный допуск для синхронизации часов компьютера".
Шейн прав насчет разницы во времени, вероятно, это не ваша проблема; по умолчанию, кстати, допуск составляет 5 минут.
Говоря о тайм-аутах, имейте в виду, что значение тайм-аута для операции аутентификации Kerberos v5 составляет 30 секунд. Это можно отрегулировать с помощью KdcWaitTime
значение в следующем ключе на контроллере домена:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
Другая проблема (хотя и редко встречается в лесах малого и среднего размера) - это ограничение размера токена по умолчанию, равное 12 килобайтам. Если размер токена пользователя превышает 12 КБ, вы также можете столкнуться с проблемами. Узнать больше о проблема с размером токена здесь
Однако это предположение, так как ваш вопрос на самом деле не приносит в таблицу никакой ценной диагностической информации.