El Registro y los Servidores 2003

Servicio Servidor

Manualmente podemos optimizar el servicio Servidor, personalizándolo a favor del uso de memoria, de la red o de ambos.

lanmanserver

HKLMSYSTEMCurrentControlSetServiceslanmanserverSize

Valor REG_DWORD, con:

0x01 para minimizar el uso de memoria.

0x02 balancear el uso de memoria y el rendimiento de red.

0x03 máximizar el rendimiento de red.

Autenticación

Hay una serie de personalizaciones que pueden ayudarnos a resolver problemas y optimizar la autenticación.

Kerberos, Obligatoriedad de Catálogo Global y la habilitación de los mensajes de Winlogon extendidos para obtención de información.

KERBEROS

Kerberos es un mecanismo de autenticación que se usa para comprobar la identidad de un usuario o equipo. Es el método preferido para autenticar servicios en Windows Server 2003. Podemos modificar los parámetros de Kerberos para resolver contratiempos o simplemente para testear el protocolo, al acabar eliminamos las entradas añadidas, ya que podría influir en el rendimiento del equipo.

En la llave: HKLMSYSTEMCurrentControlSetControlLsaKerberosParameters con valores del tipo REG_DWORD.

SkewTime 5 (minutos) Este valor es el máximo de diferencia de hora permitido entre el equipo cliente y el servidor que acepta la autenticación.
LogLevel 0 Indica si los sucesos se guardan en el Registro de sucesos del sistema. Cualquier valos distinto a 0 provocará que todos los sucesos relacionados con Kerberos se guarden.
MaxPacketSize 1465(bytes) Tamaño máximo del paquete UDP. Si se supera el tamaño se usa TCP.
StartupTime 120(segundos) Tiempo que espera Windows al KDC para iniciar antes de darse por vencido.
KdcWaitTime 10(segundos) Tiempo que espera Windows una respuesta del KDC.
KdcBackoffTime 10(segundos) Tiempo entre sucesivas llamadas al KDC si la anterior ha fallado.
KdcSendRetries 3 Intentos de contactar con el KDC.
DefaultEncryptionType 23 (0x17) Tipo de cifrado para la preautenticación.
FarKdcTimeout 10(minutos) Tiempo de caducidad usado para invalidar a un controlador de dominio desde un sitio distinto en la caché de controlador de dominio.
NearKdcTimeout 30(minutos) Tiempo de caducidad usado para invalidar a un controlador de dominio en el mismo sitio en la caché de controlador de dominio.
StronglyEncryptDatagram FALSE Bandera que indica si se usa un cifrado de 128 bits, lo contrario a un cifrado débil, en paquetes de datagrama.
MaxReferralCount 6 Numero de referencias KDC que un cliente sigue antes de darse por vencido.
KerbDebugLevel 0 Indicador de depuración: 1 ON, 0 OFF.
MaxTokenSize 12000 Valor máximo del token Kerberos (Se recomienda siempre un valor menor a 65535).
SpnCacheTimeout 15(minutos) Tiempo de vida de las entradas en caché del servicio principal de nombres SPN. En DCs la caché SPN está deshabilitada.
S4UCacheTimeout 15(minutos) Tiempo de vida de las entradas negativas en caché S4U que se usan para restringir el número de solicitudes Proxy S4U desde un equipo en particular.
S4UTicketLifeTime 15(minutos) Tiempo de vida de los tickets obtenidos por solicitudes proxy S4U.
RetryPdc 0 Indica si el cliente contactará con el DC primario para solicitudes de autenticación (AS_REQ) si recibe un error de contraseña caducada.
0=falso; distinto a 0=verdadero.
RequestOptions Cualquier valor de la RFC 1510 Indica si hay opciones adicionales que puedan enviarse como opciones KDC en las solicitudes de Ticket de concesión de servicio (TGS_REQ).
ClientIPAddress 0 Indica si una dirección IP de cliente se añadirá en un AS_REQ para obligar al campo Caddr a contener direcciones IP en todos los tickets.
0=falso; cualquier otro = verdadero.
TgtRenewalTime 600(segundos) Tiempo que Kerberos espera antes intentar renovar un ticket (TGT) antes de la caducidad del ticket.
AllowTgtSessionKey 0 Indica como se exportan las claves de sesión. El valor es 0 por seguridad.
0=falso, cualquier otro=verdadero.

 

En la llave: HKLMSYSTEMCurrentControlSetServiceskdc con valores del tipo REG_DWORD.

KdcUseClientAddresses 0 Indica si la dirección IP se añade a la respuesta de Ticket de concesión (TGS_REP).
0=falso; cualquier otro=verdadero.
KdcDontCheckAddresses 0 Indica si las direcciones IP para el TGS_REQ i el campo Caddr del TGT se comprobarán.
0=falso; cualqueir otro=verdadero.
NewConnectionTimeout 50(segundos) Tiempo en que el extremo de una conexión TCP inicial permanecerá abierta para recibir datos antes de desconectarse.
MaxDatagramReplySize 1465(bytes) Tamaño máximo de paquete UDP en los mensajes TGS_REP y AS_REP. Si el paquete excede el tamaño, el KDC devuelve un mensaje KRB_ERR_RESPONSE_TOO_BIG que solicita al cliente que cambie a TCP.
KdcExtraLogLevel 2 Indica que información escribirá y auditará el KDC en el registro de sucesos.
KdcDebugLevel 0 Depurador ON o depurador OFF.

 

Deshabilitar obligación Catálogo Global

Emplazar los servidores de Catálogo Global en sitios remotos suele ser deseable para mejorar el rendimiento del inicio de sesión de usuario, búsquedas y otras acciones que necesitan comunicación con el catálogo, y para reducir el tráfico WAN. Sin embargo, para reducir la intervención adminitrativa, las necesidades de hardware y otros relacionados, puede que no queramos tener un servidor de catálogo global en un sitio remoto. Esto es relevante en ciertos entornos, pero el problema es que los inicios de sesión necesitan que un controlador de dominio autentifique al usuario para contactar con el catálogo global y determinar si pertenece a un grupo universal. Si la oficina remota o sucursal no dispone de un catálogo global y no puede contactarse con uno, puede fallar el inicio de sesión del usuario.

Windows Server 2003 ofrece una alternativa de caché de grupos universales. Cuando se habilita para un sitio, los usuarios que inician sesión mientras el catálogo global está en línea pueden seguir haciéndolo aún cuando el catálogo global esté fuera de línea en el próximo inicio de sesión.

Para eliminar la obligación de catálogo global en un sitio y esquivar inicios denegados de sesión de usuario, lo habilitamos en el valor de configuración del controlador de dominio que lleva a cabo la autenticación del usuario:

IgnoreGCFailures (REG_DWORD) en HKLMSYSTEMCurrentControlSetControlLsa, dándole un valor de 0x01 y reiniciando el DC.

Habilitar mensajes de Winlogon extendidos

Podemos configurar Windows para obtener mensajes de inicio de sesión, apagado, arranque y cierre de sesión extendidos, obteniendo información extendida para resolver cualquier incidencia en el comportamiento de estas acciones.

Creamos el valor verbosestatus del tipo REG_DWORD en la llave HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem, y le damos el valor 0x01.

*Hay que comprobar que no exista el valor DissableStatusMessages en la misma llave sino no se mostrarán los mensajes.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *