Esta configuração de política controla o comportamento do cliente Kerberos relativo à validação do certificado KDC para logon de certificado do sistema e cartão inteligente.
Se você habilitar essa configuração de política, o cliente Kerberos exigirá que o certificado X.509 do KDC contenha o identificador de objeto de finalidade de chave KDC nas extensões EKU (Uso Estendido de Chave) e que o certificado X.509 do KDC contenha uma extensão dNSName subjectAltName (SAN) que corresponda ao nome DNS do domínio. Se o computador fizer parte de um domínio, o cliente Kerberos exigirá que o certificado X.509 do KDC seja assinado por uma CA (Autoridade de Certificação) no repositório NTAuth. Se o computador não fizer parte de um domínio, o cliente Kerberos permitirá que o certificado CA raiz no cartão inteligente seja usado na validação de caminho do certificado X.509 do KDC.
Se você desabilitar ou não definir essa configuração de política, o cliente Kerberos exigirá apenas que o certificado KDC contenha o identificador do objeto de finalidade de Autenticação de Servidor nas extensões EKU, que podem ser emitidas em qualquer servidor.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |