이 정책 설정은 스마트 카드 및 시스템 인증서 로그온을 위한 KDC 인증서의 유효성을 검사하는 Kerberos 클라이언트의 동작을 제어합니다.
이 정책 설정을 사용할 경우 KDC의 X.509 인증서에 EKU(Extended Key Usage) 확장의 KDC 키 용도 개체 식별자가 포함되고 KDC의 X.509 인증서에 도메인의 DNS 이름과 일치하는 dNSName SAN(subjectAltName) 확장이 포함되어야 한다는 것이 Kerberos 클라이언트에서 요구됩니다. 컴퓨터가 도메인에 가입된 경우 NTAuth 저장소의 CA(인증 기관)에 의해 KDC의 X.509 인증서가 서명되어야 한다는 것이 Kerberos 클라이언트에서 요구됩니다. 컴퓨터가 도메인에 가입되지 않은 경우 Kerberos 클라이언트는 KDC의 X.509 인증서에 대한 경로 유효성 검사에서 스마트 카드의 루트 CA 인증서를 사용하는 것을 허용합니다.
이 정책 설정이 사용되지 않거나 구성되어 있지 않을 경우 KDC 인증서에 어떤 서버로도 발급될 수 있는 EKU 확장의 서버 인증 용도 개체 식별자가 포함되어야 한다는 것만 Kerberos 클라이언트에서 요구합니다.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |