Esta configuración de directiva controla el comportamiento del cliente Kerberos al validar el certificado KDC.
Si habilita esta configuración de directiva, el cliente Kerberos requiere que el certificado X.509 de KDC contenga el identificador del objeto de propósito de la clave KDC en las extensiones de Uso mejorado de clave (EKU), y que el certificado X.509 de KDC contenga una extensión dNSName subjectAltName (SAN) que coincida con el nombre DNS del dominio. Si el equipo está unido a un dominio, el cliente Kerberos requiere que el certificado X.509 de KDC esté firmado por una entidad de certificación (CA) en el almacén NTAUTH. Si el equipo no está unido a un dominio, el cliente Kerberos permite usar el certificado de CA raíz de la tarjeta inteligente en la validación de ruta del certificado X.509 de KDC.
Si deshabilita o no establece esta configuración de directiva, el cliente Kerberos requerirá solo que el certificado KDC contenga el identificador del objeto de propósito de autenticación de servidor en las extensiones EKU.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |