Kuidas sundida Kerberost kasutama Windowsis UDP asemel TCP-d

Artiklite tõlked Artiklite tõlked
Artikli ID: 244474 - Vaadake tooteid, millega see artikkel seostub.
Laienda kõik | Ahenda kõik

KOKKUVÕTE

Windowsi Kerberose autentimispakett on vaikeautentimispaketiks operatsioonisüsteemides Windows Server 2003, Windows Server 2008 ja Windows Vista. See töötab üheaegselt NTLM-i pretensiooni/vastuse protokolliga ning seda kasutatakse juhul, kui nii klient kui ka server saavad Kerberosega läbirääkimisi pidada. Kommentaaride nõude (RFC) 1510 kohaselt peab klient saatma UDP-datagrammi (User Datagram Protocol) Kerberose jaotuskeskuse (KDC) IP-aadressile pordile 88, kui klient KDC-ga ühendust võtab. KDC peaks vastama vastusdatagrammiga saatvale pordile saatja IP-aadressil. RFC kohaselt peab olema esimene proovitav protokoll UDP-protokoll.

Ahenda see tabelLaienda see tabel
Märkus.RFC 4120 tühistab nüüd RFC 1510. RFC 4120 määrab, et KDC peab aktsepteerima TCP taotlusi ja neid pordis 88 (kümnendarv) kuulama. Vaikimisi proovivad operatsioonisüsteemid Windows Server 2008 ja Windows Vista Kerberose puhul kõigepealt TCP-protokolli, sest MaxPacketSize vaikeväärtus on nüüd 0. MaxPacketSize registriväärtust saab kasutada selle käitumise tühistamiseks.

UDP-paketi suuruse piirang võib domeeni sisselogimisel põhjustada järgmise tõrketeate:
Sündmuselogi tõrge 5719
Allikas NETLOGON

Windows NT või Windows 2000 domeenikontrollerit ei ole saadaval domeenile Domeen. Ilmnes järgmine tõrge.

Selle sisselogimisnõude teenindamiseks ei ole praegu sisselogimisservereid saadaval.
Lisaks võib tööriist Netdiag kuvada järgmisi tõrketeateid.
Tõrketeade 1
DC loendi test. . . . . . . . . . . : Ebaõnnestus [HOIATUS] Ei saa kutsuda DsBind kliendile COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Tõrketeade 2
Kerberose test. . . . . . . . . . . : Ebaõnnestus [PARANDAMATU] Kerberosel ei ole piletit serverile MEMBERSERVER$.]
Windows XP sündmuselogis on selle probleemi tunnusteks SPNegotiate 40960 ja Kerberos 10.

LISATEAVE

Kui soovite, et lahendaksime probleemi teie eest, minge jaotisse ?Lahendage minu eest?. Kui eelistate probleemi ise lahendada, minge jaotisse ?Las ma lahendan ise?.

Lahendage minu eest

Selle probleemi automaatseks lahendamiseks klõpsake nupul või lingil Fix it. Klõpsake dialoogiboksis File Download (Faili allalaadimine) nupul Run (Käivita) ja järgige lahendusviisardi juhiseid.


Lahenda see probleem
Microsoft Fix it 50563


Märkused
  • See viisard võib olla üksnes ingliskeelne. Automaatne lahendus toimib siiski ka Windowsi muukeelsete versioonide puhul.
  • Kui te ei ole arvuti juures, kus probleem esineb, salvestage lahendus USB-mäluseadmele või CD-le ja seejärel käivitage see probleemses arvutis.

Järgmisena minge jaotisse ?Kas see lahendas probleemi??.



Las ma lahendan ise

NB! See jaotis, meetod või toiming sisaldab etappe, mille käigus õpetatakse registrit muutma. Registri vale muutmine võib aga põhjustada tõsiseid probleeme. Seetõttu järgige tingimata hoolikalt juhiseid. Lisakaitseks varundage register kindlasti enne selle muutmist. Siis saate probleemide ilmnemisel registri taastada. Kui soovite lisateavet registri varundamise ja taastamise kohta, siis klõpsake Microsofti teabebaasi artikli kuvamiseks järgmisel artiklinumbril:
322756 Registri varundamine ja taastamine operatsioonisüsteemis Windows


NB! Kui kasutate Kerberose puhul UDP-protokolli, võib klientarvuti reageerimise lõpetada (hanguda), kui saate järgmise tõrketeate.
Teie isiklike sätete laadimine.
Vaikimisi on datagrammipakettide, mille puhul Windows Server 2003 kasutab UDP-protokolli, maksimaalne suurus 1465 baiti. Windows XP ja Windows 2000 puhul on maksimum 2000 baiti. TCP-protokolli (Transmission Control Protocol) kasutatakse iga datagrammipaketi puhul, mis on suurem kui see maksimum. Datagrammipaketi, mille puhul kasutatakse UDP-protokolli, maksimumsuurust saab muuta registrivõtme väärtuse muutmisega.

Vaikimisi kasutab Kerberos ühenduseta UDP-datagrammipakette. Sõltuvalt erinevatest teguritest, k.a turbeidentifikaatori (SID) ajalugu ja rühma kuuluvus, võib mõnedel kontodel olla suurem Kerberose autentimispaketi suurus. Sõltuvalt virtuaalse privaatvõrgu (VPN) riistvarakonfiguratsioonist on vaja need suuremad paketid tükeldada, kui need läbivad VPN-i. Probleemi põhjuseks on nende suuremate Kerberose UDP-pakettide tükeldamine. Et UDP on ühenduseta protokoll, kõrvaldatakse tükeldatud UDP-paketid, kui need saabuvad sihtkohta vales järjekorras.

Kui seate MaxPacketSize väärtuseks 1, sunnite klienti kasutama Kerberose liikluse saatmiseks läbi VPN-tunneli TCP-protokolli. Et TCP on ühendusekeskne, on see VPN-tunnelis palju kindlam transpordivahend. Isegi kui paketid kõrvaldatakse, nõuab server puuduvad andmepaketid uuesti.


Saate seada MaxPacketSize väärtuseks 1, et sundida klienti kasutama Kerberose liikluseks TCP-protokolli. Selleks toimige järgmiselt.
  1. Käivitage registriredaktor.
  2. Leidke järgmine registri alamvõti ja klõpsake sellel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    Märkus. Kui võtit Parameters (Parameetrid) pole olemas, looge see.
  3. Valige menüüs Edit (Redigeeri) käsk New (Uus) ja klõpsake seejärel käsul DWORD Value (DWORD-väärtus).
  4. Tippige MaxPacketSize ja vajutage sisestusklahvi (ENTER).
  5. Topeltklõpsake võtmel MaxPacketSize, tippige väljale Value data (Väärtuseandmed) väärtus 1, klõpsake ja valige suvand Decimal ning klõpsake OK.
  6. Sulgege registriredaktor.
  7. Taaskäivitage arvuti.

    See on lahendus operatsioonisüsteemidele Microsoft Windows 2000, XP ja Server 2003. Windows Vista ja uuemad kasutavad MaxPacketSize puhul vaikeväärtust ?0?, mis samuti lülitab välja Kerberose kliendil UDP kasutamise.

Kas see lahendas probleemi?

  • Kontrollige, kas probleem on lahenenud. Kui probleem on lahenenud, siis olete selle jaotisega lõpetanud. Kui probleem ei ole lahenenud, võite võtta ühendust tugiteenusega.
  • Hindame teie tagasisidet. Kui soovite anda tagasisidet või teatada mõnest probleemist selle lahendusega, jätke palun kommentaar ?Lahendage minu eest? ajaveebi või saatke meile meil.
Järgnev mall on administratiivmall, mille saab importida rühmapoliitikasse, et MaxPacketSize väärtuse saaks seada kõikidele ettevõtte arvutitele, millel on installitud operatsioonisüsteem Windows Server 2003, Windows XP või Windows 2000. MaxPacketSize sätete kuvamiseks rühmapoliitika objektiredaktoris (Group Policy Object Editor) klõpsake menüü View (Vaade) käsul Show Policies Only (Näita ainult poliitikaid), et käsk Show Policies Only ei oleks valitud. See mall muudab registrivõtmeid väljaspool poliitikate jaotist. Rühmapoliitika objektiredaktor ei kuva neid registrisätteid vaikimisi. Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmisel artiklinumbril:
320903 Kliendid ei saa logida sisse Kerberosega TCP-protokolli kaudu

Atribuudid

Artikli ID: 244474 - Viimati läbi vaadatud: 11. september 2011 - Redaktsioon: 3.0
KEHTIB JÄRGMISE LÕIGU KOHTA:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Märksõnad: 
kbenv kbinfo kbfixme kbmsifixme KB244474

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com