Τρόπος επιβολής Kerberos για να χρησιμοποιήσετε το πρωτόκολλο TCP αντί για UDP στα Windows

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 244474 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Η προεπιλογή είναι το πακέτο ελέγχου ταυτότητας Windows Kerberos πακέτο ελέγχου ταυτότητας στα Windows Server 2003, στα Windows Server 2008 και Windows Vista. Συνυπάρχει με την πρόκληση/απόκριση NTLM πρωτόκολλο και χρησιμοποιείται σε περιπτώσεις όπου ένα πρόγραμμα-πελάτη και ενός διακομιστή να διαπραγμάτευση Kerberos. Αίτηση για σχόλια (RFC) 1510 αναφέρει ότι το πρόγραμμα-πελάτη πρέπει να αποστείλει ένα datagram User Datagram Protocol (UDP) στη θύρα 88 κατά την ΠΕ η διεύθυνση του το κλειδί κέντρο διανομής (KDC) όταν ένας υπολογιστής-πελάτης επικοινωνεί με το KDC. Το KDC πρέπει να απαντήσει με ένα datagram απόκρισης στη θύρα αποστολής της διεύθυνση IP του αποστολέα. Το RFC αναφέρει επίσης ότι το UDP πρέπει να είναι το πρώτο πρωτόκολλο που επιχείρησε.

Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
ΣημείωσηRFC 4120 obsoletes τώρα RFC 1510. RFC 4120 Καθορίζει ότι ένα KDC πρέπει να αποδεχθείτε αιτήσεις TCP και πρέπει να ακρόαση για αιτήσεις στη θύρα 88 (δεκαδικός). Από προεπιλογή, τα Windows Server 2008 και Windows Vista θα προσπαθήσει TCP πρώτα για το Kerberos, επειδή η προεπιλεγμένη τιμή MaxPacketSize είναι τώρα 0. Μπορείτε να χρησιμοποιήσετε την τιμή MaxPacketSize μητρώου για να παρακάμψετε αυτή τη συμπεριφορά.

Ένας περιορισμός του μεγέθους του πακέτου UDP ενδέχεται να προκαλέσει την ακόλουθο μήνυμα λάθους στη σύνδεση τομέα:
Σφάλμα αρχείου καταγραφής συμβάντων αρχείου καταγραφής 5719
NETLOGON προέλευσης

Χωρίς τα Windows NT ή τομέα των Windows 2000 Ελεγκτής είναι διαθέσιμη για τον τομέα Τομέα. Το Παρουσιάστηκε το παρακάτω σφάλμα:

Αυτήν τη στιγμή υπάρχουν διακομιστές σύνδεσης είναι διαθέσιμη για την εξυπηρέτηση της αίτησης σύνδεσης.
Επιπλέον, το Netdiag το εργαλείο μπορεί να εμφανίσει τα ακόλουθα μηνύματα λάθους:
Μήνυμα λάθους 1
Δοκιμή λίστας DC........ . . . : [ΠΡΟΕΙΔΟΠΟΊΗΣΗ] απέτυχε δεν είναι δυνατή η κλήση DsBind COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Μήνυμα λάθους 2
Δοκιμή του Kerberos........ . . . : Kerberos αποτυχία [ΑΝΕΠΑΝΌΡΘΩΤΟ] έχουν εισιτηρίου για MEMBERSERVER$.]
Τα αρχεία καταγραφής συμβάντων των Windows XP που είναι συμπτώματα του ζητήματος αυτού είναι SPNegotiate 40960 και Kerberos 10.

Περισσότερες πληροφορίες

Για να επιλύσουμε το πρόβλημα για εσάς, επισκεφθείτε το "Αυτόματη επίλυση"ενότητα. Εάν προτιμάτε να επιλύσετε αυτό το πρόβλημα, μεταβείτε το "Επιδιόρθωση μόνος μου"ενότητα.

Αυτόματη επίλυση

Για να διορθώσετε αυτό το ζήτημα αυτόματα, κάντε κλικ στην επιλογή του Επιδιόρθωση κουμπί ή τη σύνδεση. Κάντε κλικ στο κουμπί Εκτέλεση με το Λήψη αρχείων παράθυρο διαλόγου και, ακολουθήστε τα βήματα για την επιδιόρθωση του οδηγού.


Διορθώστε το πρόβλημα
Microsoft Fix it 50563


Σημειώσεις
  • Αυτός ο οδηγός μπορεί να είναι μόνο στα Αγγλικά. Ωστόσο, η αυτόματη επιδιόρθωση λειτουργεί επίσης για άλλες εκδόσεις γλώσσας των Windows.
  • Εάν χρησιμοποιείτε υπολογιστή που έχει το πρόβλημα, αποθηκεύστε την επιδιόρθωση του διαλύματος σε μια μονάδα δίσκου flash ή ένα CD και στη συνέχεια να το εκτελέσετε στον υπολογιστή που έχει το πρόβλημα.

Στη συνέχεια, μεταβείτε το "Επέλυσε το πρόβλημα;"ενότητα.



Επιδιόρθωση μόνος μου

Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, αντίγραφο ασφαλείας του μητρώου πριν το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows


Σημαντικό Εάν χρησιμοποιήσετε UDP για το Kerberos, ο υπολογιστής-πελάτης ενδέχεται να σταματήσει να ανταποκρίνεται (κολλάει) όταν λάβετε το ακόλουθο μήνυμα:
Φόρτωση των προσωπικών σας ρυθμίσεων.
Από προεπιλογή, το μέγιστο μέγεθος των πακέτων datagram για τα οποία τα Windows Server 2003 χρησιμοποιεί UDP είναι 1,465 byte. Για τα Windows XP και Windows 2000, η μέγιστη είναι περίπου 2.000 byte. Transmission Control Protocol (TCP) χρησιμοποιείται για οποιοδήποτε datagrampacket που είναι μεγαλύτερο από το μέγιστο αυτό. Το μέγιστο μέγεθος των πακέτων datagram για τα οποία είναι UDP χρησιμοποιείται μπορεί να αλλάξει τροποποιώντας ένα κλειδί και τιμή μητρώου.

Από προεπιλογή, το Kerberos χρησιμοποιεί πακέτα UDP χωρίς σύνδεση. Ανάλογα με το ένα διάφορους παράγοντες, συμπεριλαμβανομένης και της ομάδας ασφαλείας (SID) αναγνωριστικό ιστορικού συμμετοχή, ορισμένοι λογαριασμοί θα έχουν μεγαλύτερα πακέτο ελέγχου ταυτότητας Kerberos μεγέθη. Ανάλογα με τη ρύθμιση παραμέτρων υλικού του εικονικού ιδιωτικού δικτύου (VPN), αυτά τα μεγαλύτερα πακέτα πρέπει να έχουν κατακερματιστεί όταν περνούν μέσα από ένα VPN. Το το πρόβλημα προκαλείται από τον κατακερματισμό αυτών μεγάλων πακέτων UDP του Kerberos. Επειδή UDP είναι ένα πρωτόκολλο χωρίς σύνδεση, κατακερματισμένα πακέτα UDP θα απορριφθούν όταν φθάσουν στον προορισμό εκτός σειράς.

Εάν αλλάξετε MaxPacketSize σε τιμή 1, επιβάλλει στον υπολογιστή-πελάτη να χρησιμοποιήσει το TCP για την αποστολή Kerberos η κίνηση μέσω της διοχέτευσης VPN. Επειδή το πρωτόκολλο TCP είναι προσανατολισμένο σε σύνδεση, είναι ένα πιο αξιόπιστο μέσο μεταφοράς διαμέσου της διοχέτευσης VPN. Ακόμη και αν τα πακέτα απορρίφθηκαν, ο διακομιστής θα re-request το πακέτο δεδομένων που λείπει.


Μπορείτε να αλλάξετε την τιμή MaxPacketSize σε 1 για να επιβάλλετε υπολογιστές-πελάτες να χρησιμοποιούν την κυκλοφορία Kerberos μέσω TCP. Ακολουθήστε τα εξής βήματα:
  1. Ξεκινήστε τον Επεξεργαστή μητρώου.
  2. Εντοπίστε και κατόπιν κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    Σημείωση Εάν το Παράμετροι το κλειδί δεν υπάρχει, δημιουργήστε το τώρα.
  3. Από το Επεξεργασία μενού, σημείοΝέα, και στη συνέχεια κάντε κλικ στο κουμπί Η τιμή DWORD.
  4. Τύπος MaxPacketSize, και στη συνέχεια πιέστε το πλήκτρο ΕΙΣΑΓΆΓΕΤΕ.
  5. Κάντε διπλό κλικ MaxPacketSize, πληκτρολογήστε1με το Η τιμή δεδομένων Κάντε κλικ Για να επιλέξετε το Δεκαδικών επιλογή και στη συνέχεια κάντε κλικ στο κουμπί OK.
  6. Κλείστε τον Επεξεργαστή μητρώου.
  7. Επανεκκινήστε τον υπολογιστή σας.

    Αυτή είναι η λύση προσέγγιση για Microsoft Windows 2000, XP και Server 2003. Τα Windows Vista και νεότερα χρήση προεπιλεγμένη "0" για MaxPacketSize που απενεργοποιεί επίσης τη χρήση UDP για το πρόγραμμα-πελάτης Kerberos.

Επέλυσε το πρόβλημα;

  • Ελέγξτε εάν το ζήτημα έχει επιλυθεί. Εάν επιλυθεί το πρόβλημα, τελειώσατε με αυτή την ενότητα. Εάν δεν επιλυθεί το πρόβλημα, μπορείτε να Επικοινωνήστε με την υποστήριξη.
  • Θα εκτιμούσαμε τα σχόλιά σας. Για σχόλια ή για να αναφέρετε ζητήματα με αυτήν τη λύση, αφήστε ένα σχόλιο για το "Αυτόματη επίλυση"ιστολόγιο ή στείλτε μας ένα ηλεκτρονικό ταχυδρομείο.
Το ακόλουθο πρότυπο είναι ένα διαχειριστικό πρότυπο που μπορεί να εισάγονται πολιτικής ομάδας για να επιτρέψει στην τιμή MaxPacketSize να οριστεί για όλες τις εταιρικούς υπολογιστές που εκτελούν Windows Server 2003, Windows XP, ή Τα Windows 2000. Για να προβάλετε τις ρυθμίσεις του MaxPacketSize στο πρόγραμμα επεξεργασίας αντικειμένου πολιτικής ομάδας, Κάντε κλικ στο κουμπί Εμφάνιση μόνο πολιτικές από το Προβολή μενού, ώστε να που Εμφάνιση μόνο πολιτικές δεν είναι επιλεγμένο. Αυτό το πρότυπο τροποποιεί τα κλειδιά μητρώου έξω από την ενότητα πολιτικές. Από προεπιλογή, Πρόγραμμα επεξεργασίας αντικειμένου πολιτικής ομάδας εμφανίζει αυτές τις ρυθμίσεις μητρώου. Για πρόσθετες πληροφορίες, κάντε κλικ στην παρακάτω αριθμό άρθρου για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
320903Οι υπολογιστές-πελάτες δεν είναι δυνατό να συνδεθείτε χρησιμοποιώντας Kerberos σε TCP

Ιδιότητες

Αναγν. άρθρου: 244474 - Τελευταία αναθεώρηση: Κυριακή, 29 Μαΐου 2011 - Αναθεώρηση: 5.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Λέξεις-κλειδιά: 
kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:244474

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com