Jak vynutit použití ověřování pomocí protokolu Kerberos použití protokolu TCP místo protokolu UDP v systému Windows

Překlady článku Překlady článku
ID článku: 244474 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

Balík pro ověřování pomocí protokolu Kerberos v systému Windows je výchozí ověřovací balíček v systému Windows Server 2003, Windows Server 2008 a Windows Vista. Coexists s protokolem NTLM typu výzva a odezva a je použit v případech, kdy klient i server vyjednání protokolu Kerberos. V dokumentu RFC (Request for Comments) číslo 1510 je uvedeno, že pokud klient kontaktuje službu KDC (centrum distribuce klíčů), měl by na port 88 na adrese IP služby KDC odeslat datagram protokolu UDP (User Datagram Protocol).. Služba KDC by měla odpovědět odpovídajícím datagramem na odesílající port na adrese IP odesílatele.. V dokumentu RFC je také uvedeno, že nejprve je nutné vyzkoušet protokol UDP..

Zmenšit tuto tabulkuRozšířit tuto tabulku
POZNÁMKA:RFC 4120 nyní obsoletes RFC 1510. RFC 4120 Určuje, že služba KDC musí přijímat požadavky protokolu TCP a sledovat tyto požadavky na port 88 (desítkově). Ve výchozím nastavení systému Windows Server 2008 a Windows Vista se pokusí TCP nejprve pro protokol Kerberos protože nyní je ve výchozím nastavení položky MaxPacketSize 0. Hodnota registru MaxPacketSize stále můžete toto nastavení změnit.

Z důvodu omezení velikosti paketu protokolu UDP může být při přihlášení k doméně zobrazena následující chybová zpráva::
Protokol událostí – chyba 5719
Zdroj NETLOGON

Bez systému Windows NT nebo řadič domény Windows 2000 je k dispozici pro doménuDoména:. Došlo k následující chybě::

Pro vyřízení žádosti o přihlášení nejsou nyní k dispozici žádné přihlašovací servery..
Kromě toho Netdiag nástroj může zobrazit následující chybové zprávy:
Chybová zpráva 1
DC list test ......... . . . : Selhal [upozornění] nelze zavolat DsBind na COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND] (Test seznamu řadičů domény: Selhání [VAROVÁNÍ] Nelze volat funkci DsBind v doméně COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND])
Chybová zpráva 2
Kerberos test......... . . . : Pomocí protokolu Kerberos došlo k chybě [FATAL] nemá lístek pro MEMBERSERVER $.]
Protokoly událostí systému Windows XP, které jsou příznaky tohoto problému jsou SPNegotiate 40960 a 10 protokolu Kerberos.

Další informace

Chcete-li nám potíže můžete vyřešit, přejděte "Opravit za mě"oddílu. Chcete-li tento problém vyřešit sami, přejděte "Opravit si sám"oddílu.

Opravit za mě

Chcete-li tento problém vyřešit automaticky, klepněteOpravittlačítko nebo odkaz. , vyberte položkuSpustitV seznamuStažení souboruDialogové okno pole a postupujte podle kroků v opravit, průvodci.


Vyřešit tento problém
Microsoft Fix it 50563


POZNÁMKY
  • Tento průvodce může být pouze v angličtině. Tato automatická oprava však funguje i pro ostatní jazykové verze systému Windows..
  • Pokud používáte počítač obsahující problém, uložte opravit, řešení pro jednotku flash nebo na disku CD-ROM a spusťte jej v počítači, který má potíže.

Přejděte "Byly potíže vyřešeny??"oddílu.



Opravit si sám

Důležité:Tento oddíl, metoda nebo úkol obsahuje kroky, které vám sdělit, jak upravit registr. Po nesprávné úpravě registru však mohou nastat závažné problémy.. Postupujte proto pečlivě podle uvedených kroků.. Pro zvýšení bezpečnosti registr zálohujte jestě před jeho úpravami.. Potom můžete v případě potíží registr obnovit.. Další informace o zálohování a obnovování registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base::
322756Postup při zálohování a obnovení registru v systému Windows


Důležité:Pokud používáte protokol UDP pomocí protokolu Kerberos, klientský počítač může přestat reagovat (zablokuje se) po zobrazení následující zprávy:
Načítání osobního nastavení....
Ve výchozím nastavení je maximální velikost paketů datagramu, pro které systém Windows Server 2003 používá protokol UDP, 1465 bajtů.. U systémů Windows XP a Windows 2000 je to 2000 bajtů.. Pro každý paket datagramu větší než toto maximum je použit protokol TCP (Transmission Control Protocol).. Maximální velikost paketů datagramu, pro které je použit protokol UDP, lze změnit úpravou klíče a hodnoty registru..

Při ověřování pomocí protokolu Kerberos jsou ve výchozím nastavení použity pakety datagramu protokolu UDP bez připojení.. V závislosti na různých faktorech (například na historii identifikátoru zabezpečení (SID) a na členství ve skupině) budou u některých účtů použity větší pakety pro ověřování pomocí protokolu Kerberos.. V závislosti na konfiguraci hardwaru virtuální privátní sítě (VPN) je nutné tyto větší pakety při přenosu ve veřejné privátní sítí fragmentovat.. Daný problém je způsoben fragmentací těchto velkých paketů protokolu UDP pro ověřování pomocí protokolu Kerberos.. Vzhledem k tomu, že protokol UDP je protokolem bez připojení, budou fragmentované pakety protokolu UDP, které do cíle nedorazí v pořádku, ztraceny..

Pokud změníte hodnotu položky registru MaxPacketSize na hodnotu 1, vynutíte, aby klient při přenosu dat, která jsou ověřována pomocí protokolu Kerberos, tunelem virtuální privátní sítě používal protokol TCP.. Vzhledem k tomu, že protokol TCP je orientován na připojení, jedná se o spolehlivější prostředek pro přenos dat tunelem virtuální privátní sítě.. V případě, že dojde ke ztrátě paketů, bude server požadavek na chybějící datové pakety opakovat..


Změnou hodnoty položky registru MaxPacketSize na hodnotu 1 můžete vynutit, aby klienti při přenosu dat, která jsou ověřována pomocí protokolu Kerberos, používali protokol TCP.. Postupujte takto::
  1. Spusťte program Editor registru..
  2. Vyhledejte následující podklíč registru a klepněte na něj::
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    POZNÁMKA:Pokud nastaveníParametry:klíč není existují, vytvořte jej nyní.
  3. Na stránceÚpravanabídky, přejděte na příkazNEW:a potom klepněte na položkuHodnota DWORD.
  4. TYPE :MaxPacketSizea stiskněte klávesu ENTER..
  5. Dvojí kliknutíMaxPacketSizeTYPE :1V seznamuÚdaj hodnoty:pole, vyberte klepnutímDesítkováMožnosti a potom klepněte na tlačítko OK.
  6. Ukončete program Editor registru..
  7. Restartujte počítač..

    Jedná se o přístup řešení pro systém Microsoft Windows 2000, XP a Server 2003. Systém Windows Vista a novější používat výchozí hodnotu "0" pro položky MaxPacketSize, která vypne také použití protokolu UDP pro protokol Kerberos Client.

Byly potíže vyřešeny??

  • Ověřte, zda jsou potíže vyřešeny.. Pokud ano, v této části již pro vás nejsou žádné potřebné informace.. Jestliže problém není vyřešen, můžeteKONTAKTOVÁNÍ PODPORY.
  • Uvítáme vaše názory.. Zašlete nám svůj názor nebo zprávu o problémech s toto řešení, prosím ponechat komentář "Opravit za mě"blogu nebo pošlete námE-mail.
Tyto šablony je šablony pro správu, které lze importovat do zásad skupiny, aby hodnota položky MaxPacketSize nastavit pro všechny organizace počítačů se systémem Windows Server 2003, Windows XP nebo Windows 2000. Chcete-li zobrazit nastavení položky MaxPacketSize v editoru objektů Zásady skupiny, klepněte na tlačítkoPouze zobrazit zásadyNa stránceViewnabídky tak, abyPouze zobrazit zásadynení vybrána. Tato šablona mění klíče registru mimo oblast Zásady.. Editor objektů zásad skupiny ve výchozím nastavení toto nastavení registru nezobrazuje..Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base::
320903Klienti se nemohou přihlásit s použitím ověřování Kerberos přes protokol TCP (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Vlastnosti

ID článku: 244474 - Poslední aktualizace: 14. prosince 2010 - Revize: 1.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Klíčová slova: 
kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:244474

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com