Cómo hacer que Kerberos use TCP en lugar de UDP en Windows

Seleccione idioma Seleccione idioma
Id. de artículo: 244474 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

El paquete de autenticación de Kerberos de Windows es el paquete de autenticación predeterminado en Windows Server 2003 en Windows Server 2008 y en Windows Vista. Coexiste con el protocolo de desafío/respuesta NTLM y se utiliza en casos donde un cliente y un servidor pueden negociar Kerberos. Solicitud de comentarios (RFC) 1510 Estados que el cliente debe enviar un datagrama del protocolo de datagramas de usuario (UDP) al puerto 88 en la dirección IP de la clave Centro de distribución (KDC) cuando un cliente establece contacto con el KDC de dirección. El KDC debe responder con un datagrama de respuesta para el puerto envío en la dirección IP de la dirección del remitente. La solicitud de cambio también indica que UDP debe ser el primer protocolo que se ha intentado.

Contraer esta tablaAmpliar esta tabla
NotaAhora, RFC 4120 obsoletes RFC 1510. RFC 4120 especifica que un KDC debe aceptar las solicitudes TCP y debe estar atento a estas solicitudes en el puerto 88 (decimal). De forma predeterminada, Windows Server 2008 y Windows Vista intentará TCP primero para Kerberos porque el valor predeterminado de MaxPacketSize ahora es 0. Puede seguir utilizando el valor de registro MaxPacketSize para invalidar ese comportamiento.

Una limitación del tamaño de paquete UDP puede producir el siguiente mensaje de error en el inicio de sesión de dominio:
Error de registro de sucesos 5719
Origen de NETLOGON

Controlador de dominio de Windows 2000 ni Windows NT está disponible para el dominioDominio. Error:

No hay servidores de inicio de sesión disponibles para atender la solicitud de inicio de sesión.
Además, el Netdiag herramienta puede mostrar los mensajes de error siguiente:
Mensaje de error 1
Prueba de lista de DC........ . . . : Error [WARNING] no puede llamar DsBind a COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Mensaje de error 2
Prueba de Kerberos........ . . . : Error de [FATAL] de Kerberos no tiene un vale para MEMBERSERVER $.]
Los registros de sucesos de Windows XP que son síntomas de este problema son SPNegotiate 40960 y 10 de Kerberos.

Más información

Para nosotros que solucione el problema automáticamente, vaya a la "Corregir el problema para mí"sección de. Si desea corregir este problema manualmente, vaya a la "Voy a corregir el problema yo mismo"sección de.

Corregir el problema para mí

Para solucionar este problema de forma automática, haga clic en elCorregir el problemabotón o vínculo. Haga clic enEjecutaren elDescarga de archivosdiálogo cuadro y siga los pasos de la revisión, el asistente.


Solucionar el problema
Microsoft Fix it 50563


Notas
  • Este asistente puede estar en inglés solamente. Sin embargo, la corrección automática también funciona para otras versiones de idioma de Windows.
  • Si no utiliza el equipo que tiene el problema, guarde la solución la solución a una unidad flash o un CD y, a continuación, ejecútelo en el equipo que tiene el problema.

A continuación, vaya a la "¿Esto soluciona el problema?"sección de.



Voy a corregir el problema yo mismo

ImportanteEsta sección, el método o la tarea se explican los pasos que le indican cómo modificar el registro. Sin embargo, pueden producir graves problemas si modifica incorrectamente el registro. Por lo tanto, asegúrese de que siga estos pasos cuidadosamente. Para obtener más protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si surge algún problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo hacer copia de seguridad y restaurar el registro de Windows


ImportanteSi utiliza UDP para Kerberos, el equipo cliente puede dejar de responder (se bloquea) cuando aparece el mensaje siguiente:
Cargando su configuración personal.
De forma predeterminada, el tamaño máximo de paquetes de datagramas UDP que utiliza Windows Server 2003 es 1,465 bytes. Para Windows XP y Windows 2000, este valor máximo es de 2.000 bytes. Protocolo de control de transmisión (TCP) se utiliza para cualquier datagrampacket que sea mayor que este máximo. Al modificar una clave y valor, se puede cambiar el tamaño máximo de paquetes de datagramas UDP que se utiliza.

De forma predeterminada, Kerberos utiliza paquetes de datagramas UDP sin conexión. En función de diversos factores, incluida la pertenencia de grupo y de historial de SID seguridad, algunas cuentas tendrá mayor tamaño de paquete de autenticación de Kerberos. Según la configuración de hardware de red privada virtual (VPN), estos paquetes más grandes deben estar fragmentada a través de una red privada virtual. El problema se debe a la fragmentación de los paquetes de Kerberos de UDP grandes. Dado que UDP es un protocolo sin conexión, se eliminarán los paquetes fragmentados de UDP si el destino en el orden.

Si cambia un valor de 1 MaxPacketSize, obligar al cliente que utilice TCP para enviar Kerberos tráfico a través del túnel VPN. Debido a que TCP es la orientación de conexión, es una forma más confiable de transporte a través del túnel VPN. Incluso si se descartan los paquetes, el servidor solicitar el paquete de datos que faltan.


Puede cambiar MaxPacketSize a 1 para forzar que los clientes que utilizarán el tráfico de Kerberos a través de TCP. Para ello, siga estos pasos:
  1. Inicie el Editor del Registro.
  2. Busque y haga clic en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    NotaSi elParámetrosclave no existe, créelo ahora.
  3. En elEditaren el menú, señale aNuevoy, a continuación, haga clic enValor DWORD.
  4. TipoMaxPacketSize, y, a continuación, presione ENTRAR.
  5. Haga doble clic enMaxPacketSize, tipo1en elDatos de valorhaga clic para seleccionar el cuadroDecimalla opción y, a continuación, haga clic en Aceptar.
  6. Salga del Editor del Registro.
  7. Reinicie el equipo.

    Éste es el enfoque de solución de Microsoft Windows 2000, XP y Server 2003. Windows Vista y el valor predeterminado es "0" de uso más reciente para MaxPacketSize que también se desactiva el uso de UDP para el cliente de Kerberos.

¿Esto soluciona el problema?

  • Compruebe si el problema está resuelto. Si se soluciona el problema, haya terminado esta sección. Si no se soluciona el problema, puedePóngase en contacto con soporte técnico.
  • Agradeceríamos sus comentarios. Para realizar comentarios o informar de cualquier problema con esta solución, deja un comentario en el "Corregir el problema para mí"blog o envíenos unmensaje de correo electrónico.
La siguiente plantilla es una plantilla administrativa que se puede importar a la directiva de grupo para permitir que el valor de MaxPacketSize se establece para todos los equipos de la empresa que se está ejecutando Windows Server 2003, Windows XP o Windows 2000. Para ver la configuración de MaxPacketSize en el Editor de objetos de directiva de grupo, haga clic enSólo mostrar directivasen elVistamenú para queSólo mostrar directivasno está seleccionada. Esta plantilla modifica las claves del registro fuera de la sección de directivas. De forma predeterminada, el Editor de objetos de directiva de grupo no muestra estos valores del registro.Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
320903Los clientes no pueden iniciar sesión mediante Kerberos a través de TCP

Propiedades

Id. de artículo: 244474 - Última revisión: martes, 14 de diciembre de 2010 - Versión: 1.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Palabras clave: 
kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 244474

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com