Anmelden

Select the product you need help with

Das Erzwingen von Kerberos TCP anstelle von UDP in Windows verwendet.

Artikel-ID: 244474 - Produkte anzeigen, auf die sich dieser Artikel bezieht

Hinweis: Dies ist ein maschinell �bersetzter Artikel.

Maschinell-�bersetzte und englische Version des Artikels nebenander anzeigen

Alles erweitern | Alles schlie�en

Zusammenfassung

Das Windows-Kerberos-Authentifizierungspaket ist das Standard-Authentifizierungspaket in Windows Server 2003, Windows Server 2008 und Windows Vista. Mit NTLM Herausforderung/R�ckmeldung-Authentifizierungsprotokoll koexistiert, und wird in F�llen, in denen ein Client und ein Server Kerberos aushandeln k�nnen. Anforderung f�r Comments (RFC) 1510 Zust�nde, dass der Client ein Datagramm UDP (User Datagram Protocol) an Port 88 an die IP-Adresse senden soll die Adresse von der Schl�sselverteilungscenter (KDC) Wenn ein Client das Schl�sselverteilungscenter kontaktiert. Das Schl�sselverteilungscenter antwortet mit einem Antwortdatagramm an den Sendeanschluss der IP-Adresse des Absenders. Die RFC zeigt auch, dass UDP das erste Protokoll sein muss, das versucht wird.

Tabelle minimierenTabelle vergr��ern

Hinweis:

RFC-4120 obsoletes nun RFC 1510. RFC-4120 angegeben, dass ein KDC muss TCP-Anforderungen annehmen f�r solche Anfragen an Port 88 (dezimal) �berwachen soll. In der Standardeinstellung Windows Server 2008 und Windows Vista versucht TCP zun�chst f�r Kerberos da nun die MaxPacketSize-Standard ist 0. Den Registrierungswert "MaxPacketSize" k�nnen immer noch um dieses Verhalten au�er Kraft zu setzen.

Eine Beschr�nkung der UDP-Paketgr��e kann dazu f�hren, dass die folgende Fehlermeldung bei der Dom�nenanmeldung:

Ereignisprotokoll-Fehler 5719
Quelle NETLOGON

Es ist kein Windows NT- oder Windows 2000-Dom�nencontroller f�r Dom�ne verf�gbarDom�ne. Folgender Fehler ist aufgetreten:

Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verf�gbar.

Dar�ber hinaus die Netdiag Tool werden m�glicherweise die folgenden Fehlermeldungen angezeigt:

Fehlermeldung 1

DC Liste........ test . . . : Fehlgeschlagene [Warnung] kann nicht zum COMPUTERNAMEDC.domain.com DsBind aufrufen (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]

Fehlermeldung 2

Kerberos-Test........ . . . : Fehler bei [FATAL] Kerberos verf�gt nicht �ber ein Ticket f�r MEMBERSERVER $.]

Die Windows XP-Ereignisprotokolle die Symptome dieses Problems sind sind SPNegotiate 40960 und Kerberos-10.

Weitere Informationen

Wir das Problem f�r Sie korrigieren soll, gehen Sie zu den "F�r mich zu beheben"Abschnitt. Wenn Sie es vorziehen, das Problem selbst zu beheben, gehen Sie zu den "Lassen Sie mich selbst korrigieren"Abschnitt.

F�r mich zu beheben

Um das Problem automatisch zu beheben, klicken Sie auf derSollten Sie es behebenSchaltfl�che bzw. Verkn�pfung. Klicken Sie aufAusf�hrenKlicken Sie im FeldDatei downloadenDialogfeld ein, und folgen Sie den Anweisungen des Updates dieser Assistenten.

Beheben Sie dieses problem
Microsoft Fix it 50563

Hinweise

Dieser Assistent kann nur auf Englisch verf�gbar sein. Die AutoKorrektur funktioniert jedoch auch f�r andere Sprachversionen von Windows.
Wenn Sie nicht am Computer verwenden, das Problem auftritt, speichern Sie das Update diese L�sung auf ein Flashlaufwerk oder einer CD, und f�hren Sie es auf dem Computer, auf dem das Problem ist.

Fahren Sie anschlie�end mit der "Ist das Problem damit behoben?"Abschnitt.

Lassen Sie mich selbst korrigieren

WichtigIn diesem Abschnitt, eine Methode oder eine Aufgabe enth�lt Hinweise zum �ndern der Registrierung. Jedoch k�nnen schwerwiegende Probleme auftreten, wenn Sie die Registrierung nicht ordnungsgem�� ndern. Stellen Sie daher sicher, dass Sie genau diese Schritte durchf�hren. F�r zus�tzlichen Schutz sichern Sie die Registrierung, bevor Sie diese bearbeiten. Anschlie�end k�nnen Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung klicken Sie auf die folgende KB-Artikelnummer:

322756

(http://support.microsoft.com/kb/322756/ )

Zum Sichern und Wiederherstellen der Registrierung in Windows

WichtigWenn Sie UDP f�r Kerberos verwenden, reagiert Ihr Clientcomputer m�glicherweise nicht mehr (h�ngt), wenn folgende Meldung angezeigt wird:

Benutzereinstellungen werden geladen.

Standardm��ig betr�gt die maximale Gr��e der Datenpakete, die f�r die Windows Server 2003 UDP verwendet 1.465 Byte. Windows XP und Windows 2000 ist diese bis zu 2.000 Bytes. TCP (Transmission Control Protocol) wird f�r alle Datagrampacket verwendet, die gr��er als diesem maximum. Die maximale Gr��e der Datenpakete, die f�r die UDP verwendet wird kann ge�ndert werden, indem Sie einen Registrierungsschl�ssel und einen Wert �ndern.

In der Standardeinstellung verwendet Kerberos, verbindungslose UDP-Datagramm-Pakete. Abh�ngig von verschiedenen Faktoren ab, einschlie�lich-ID (SID) Verlaufs- und Gruppe Mitgliedschaften haben einige Konten Paketgr��en f�r gr��ere Kerberos-Authentifizierung. Abh�ngig von der Hardwarekonfiguration virtuelles privates Netzwerk (VPN) m�ssen diese gr��ere Pakete fragmentiert werden, wenn Sie �ber ein VPN zu wechseln. Das Problem wird durch die Fragmentierung dieser gro�en UDP-Kerberos-Pakete verursacht. Da UDP ein verbindungsloses Protokoll ist, werden fragmentierte UDP-Pakete gel�scht, wenn Sie am Ziel au�erhalb der Reihenfolge ankommen.

Wenn Sie auf einen Wert von 1 MaxPacketSize �ndern, Sie erzwingen, dass den Client TCP verwenden zum Senden von Kerberos-Datenverkehr durch den VPN-Tunnel. Da TCP verbindungsorientiert ist, ist es wesentlich zuverl�ssigere Transportmittel �ber den VPN-Tunnel. Auch wenn die Pakete verworfen werden, wird der Server das fehlende Datenpaket re-request.

Sie k�nnen "MaxPacketSize" in 1 zu erzwingen, dass die Clients f�r die Verwendung von Kerberos-Datenverkehr �ber TCP �ndern. Gehen Sie hierzu folgenderma�en vor:

Starten Sie den Registrierungseditor.
Klicken Sie auf folgenden Unterschl�ssel in der Registrierung:
Kerberos\Parameters HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\
Hinweis:Wenn dieParameterSchl�ssel nicht vorhanden sind, erstellen Sie ihn.
im Men�BearbeitenaufNeue, und klicken Sie dann aufDWORD-Wert.
Typ"MaxPacketSize", und dr�cken Sie dann die EINGABETASTE.
Doppelklicken Sie auf"MaxPacketSize"Typ1Klicken Sie im FeldWertdatenFeld, aktivieren Sie dieDezimalzahlOption, und klicken Sie dann auf OK.
Beenden Sie den Registrierungseditor.
Starten Sie den Computer neu.

Dies ist der Ansatz L�sung f�r Microsoft Windows 2000, XP und Server 2003. Windows Vista und neueren Verwendung Standard ist "0" f�r "MaxPacketSize", die die Verwendung von UDP f�r den Kerberos-Client ebenfalls deaktiviert.

Ist das Problem damit behoben?

�berpr�fen Sie, ob das Problem behoben ist. Wenn das Problem behoben ist, k�nnen Sie mit diesem Abschnitt Fertig. Wenn das Problem nicht behoben wird, k�nnen SieWenden Sie sich an Unterst�tzung
(http://support.microsoft.com/contactus)
.
Wir w�rden freuen uns �ber Ihr Feedback. Feedback geben m�chten oder melden Probleme mit dieser L�sung, lassen Sie einen Kommentar f�r die "F�r mich zu beheben
(http://blogs.technet.com/fixit4me/)
"Blog oder senden Sie uns einee-Mail
(mailto:fixit4me@microsoft.com?Subject=KB)
.

Folgende Vorlage ist eine administrative Vorlage, die importiert werden kann, in die Gruppenrichtlinien, damit der Wert "MaxPacketSize" f�r alle Computer der Organisation festgelegt werden, auf denen Windows Server 2003, Windows XP oder Windows 2000 ausgef�hrt werden. Um die MaxPacketSize-Einstellungen im Gruppenrichtlinienobjekt-Editor anzuzeigen, klicken Sie aufNur Richtlinien anzeigenim Men�AnsichtMen�,Nur Richtlinien anzeigenist nicht aktiviert. Diese Vorlage ver�ndert Registrierungsschl�ssel au�erhalb des Richtlinienabschnitts. In der Standardeinstellung wird der Gruppenrichtlinienobjekt-Editor nicht diese Registrierungseinstellungen angezeigt.Klicken Sie f�r Weitere Informationen auf die folgende KB-Artikelnummer:

320903

(http://support.microsoft.com/kb/320903/ )

Client-Anmeldung mit Kerberos �ber TCP nicht m�glich

Eigenschaften

Artikel-ID: 244474 - Ge�ndert am: Dienstag, 14. Dezember 2010 - Version: 1.0

Die Informationen in diesem Artikel beziehen sich auf:

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows XP Professional
Microsoft Windows�2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional Edition
Windows Vista Business
Windows Vista Enterprise
Windows Vista Home Basic
Windows Vista Home Premium
Windows Vista Ultimate
Windows Server 2008 Standard
Windows Server 2008 Enterprise
Windows Server 2008 Datacenter

kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtde

Maschinell �bersetzter Artikel

Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen �bersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden st�ndig erg�nzt beziehungsweise �berarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu k�nnen, werden viele Artikel nicht von Menschen, sondern von �bersetzungsprogrammen �bersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell �bersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdw�rtern sowie Fachbegriffen. Microsoft �bernimmt keine Gew�hr f�r die sprachliche Qualit�t oder die technische Richtigkeit der �bersetzungen und ist nicht f�r Probleme haftbar, die direkt oder indirekt durch �bersetzungsfehler oder die Verwendung der �bersetzten Inhalte durch Kunden entstehen k�nnten.

Den englischen Originalartikel k�nnen Sie �ber folgenden Link abrufen: 244474

(http://support.microsoft.com/kb/244474/en-us/ )

Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verf�gung. Microsoft �bernimmt keinerlei Gew�hrleistung daf�r, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erw�nschten Ergebnisse erzielen. Die Entscheidung dar�ber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung f�r Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.