Comment faire pour forcer Kerberos à utiliser TCP au lieu de UDP dans Windows

Traductions disponibles Traductions disponibles
Numéro d'article: 244474 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F244474
Agrandir tout | Réduire tout

Résumé

Le package d'authentification Kerberos de Windows est le package d'authentification par défaut dans Windows Server 2003, Windows Server 2008 et Windows Vista. Il coexiste avec le protocole Stimulation/réponse NTLM et est utilisé dans les instances où un client et un serveur peuvent négocier Kerberos. Demande d'États de la RFC (Comments) 1510 que le client doit envoyer un datagramme UDP (User Datagram Protocol) au port 88 à l'adresse IP adresse du centre KDC (Key Distribution) lorsqu'un client contacte le KDC, Key. Le KDC doit répondre avec un datagramme de réponse du port d'envoi à l'adresse IP de l'expéditeur. Le document RFC stipule également que UDP doit être le premier protocole est tenté.

Réduire ce tableauAgrandir ce tableau
RemarqueRFC 4120 obsoletes maintenant RFC 1510. RFC 4120 Spécifie qu'un KDC, Key doit accepter les requêtes TCP et qu'il doit écouter les demandes sur le port 88 (décimal). Par défaut, Windows Server 2008 et Windows Vista tentera TCP tout d'abord pour Kerberos car la valeur par défaut MaxPacketSize est désormais 0. Vous pouvez toujours utiliser la valeur de Registre MaxPacketSize pour substituer ce comportement.

Une limitation de la taille de paquet UDP peut provoquer le message d'erreur suivant au domaine d'ouverture de session :
Erreur du journal des événements 5719
Source de NETLOGON

No Windows NT or Windows 2000 Domain Controller is available for domainDomaine. The following error occurred:

There are currently no logon servers available to service the logon request.
Additionally, the Netdiag tool may display the following error messages:
Message d'erreur 1
DC list test . . . . . . . . . . . : Failed [WARNING] Cannot call DsBind to COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Message d'erreur 2
Kerberos test. . . . . . . . . . . : Failed [FATAL] Kerberos does not have a ticket for MEMBERSERVER$.]
The Windows XP event logs which are symptoms of this issue are SPNegotiate 40960 and Kerberos 10.

Plus d'informations

To have us fix the problem for you, go to the "Corriger pour moisection». Si vous préférez résoudre le problème vous-même, passez à la "Me permettre de résoudre le problème moi-mêmesection».

Corriger pour moi

Pour résoudre ce problème automatiquement, cliquez sur leRésoudre le problèmebouton ou un lien. Cliquez surExécuterdans laTéléchargement de fichierboîte de dialogue zone, puis suivez les étapes décrites dans le correctif il d'Assistant.


Résoudre le problème
Microsoft Fix it 50563


Notes
  • This wizard may be in English only. However, the automatic fix also works for other language versions of Windows.
  • If you are not using the computer that has the problem, save the Fix it solution to a flash drive or a CD and then run it on the computer that has the problem.

Then, go to the "Résolu le problème ?section».



Me permettre de résoudre le problème moi-même

ImportantCette section, la méthode ou tâche contient des procédures qui vous indiquent comment modifier le Registre. Toutefois, des problèmes sérieux peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous que vous suivez ces étapes avec précaution. Pour plus de protection, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon de sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
322756Comment faire pour sauvegarder et restaurer le Registre dans Windows


ImportantIf you use UDP for Kerberos, your client computer may stop responding (hang) when you receive the following message:
Loading your personal settings.
By default, the maximum size of datagram packets for which Windows Server 2003 uses UDP is 1,465 bytes. For Windows XP and for Windows 2000, this maximum is 2,000 bytes. Transmission Control Protocol (TCP) is used for any datagrampacket that is larger than this maximum. The maximum size of datagram packets for which UDP is used can be changed by modifying a registry key and value.

By default, Kerberos uses connectionless UDP datagram packets. Depending on a variety of factors including security identifier (SID) history and group membership, some accounts will have larger Kerberos authentication packet sizes. Depending on the virtual private network (VPN) hardware configuration, these larger packets have to be fragmented when going through a VPN. The problem is caused by fragmentation of these large UDP Kerberos packets. Because UDP is a connectionless protocol, fragmented UDP packets will be dropped if they arrive at the destination out of order.

If you change MaxPacketSize to a value of 1, you force the client to use TCP to send Kerberos traffic through the VPN tunnel. Because TCP is connection oriented, it is a more reliable means of transport across the VPN tunnel. Even if the packets are dropped, the server will re-request the missing data packet.


You can change MaxPacketSize to 1 to force the clients to use Kerberos traffic over TCP. Pour ce faire, procédez comme suit :
  1. Start Registry Editor.
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    RemarqueSi leParamètreskey does not exist, create it now.
  3. Sur laModifiermenu, pointez surNouveau, puis cliquez surLA valeur DWORD.
  4. TypeMaxPacketSize, and then press ENTER.
  5. Double-clickMaxPacketSize, type1dans laDonnées de valeurbox, click to select theDécimaloption, and then click OK.
  6. Quittez l'Éditeur du Registre.
  7. Restart your computer.

    This is the solution approach for Microsoft Windows 2000, XP and Server 2003. Windows Vista and newer use a default of "0" for MaxPacketSize which also turns off the use of UDP for the Kerberos Client.

Résolu le problème ?

  • Vérifiez si le problème est résolu. Si le problème est résolu, vous avez terminé avec cette section. Si le problème n'est pas résolu, vous pouvez :Contactez le support technique.
  • Nous vous prions vos commentaires. Pour fournir des commentaires ou signaler des problèmes liés à cette solution, placez un commentaire dans la "Corriger pour moi«blog ou nous envoyer unecourrier électronique.
The following template is an administrative template that can be imported into Group Policy to let the MaxPacketSize value be set for all enterprise computers that are running Windows Server 2003, Windows XP, or Windows 2000. To view the MaxPacketSize settings in Group Policy Object Editor, clickShow Policies Onlysur laViewmenu so thatShow Policies Onlyis not selected. This template modifies registry keys outside the Policies section. By default, Group Policy Object Editor does not display these registry settings.For additional information, click the following article number to view the article in the Microsoft Knowledge Base:
320903Clients cannot log on by using Kerberos over TCP

Propriétés

Numéro d'article: 244474 - Dernière mise à jour: mardi 14 décembre 2010 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Windows Vista Professionnel
  • Windows Vista Entreprise
  • Windows Vista Édition Familiale Basique
  • Windows Vista Édition Familiale Premium
  • Windows Vista Édition Intégrale
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Mots-clés : 
kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 244474
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com