Cikk azonos�t�ja: 244474 - Utols� ellen�rz�s: 2011. szeptember 11. - Verzi�sz�m: 3.0

Az UDP helyett a TCP protokoll haszn�lat�nak k�nyszer�t�se a Kerberos szolg�ltat�sban Windows rendszer eset�n

A cikkben �rintett term�kek list�j�nak megtekint�se.

RendszertippA jelen cikk az �n �ltal haszn�ltt�l elt�r� oper�ci�s rendszerre vonatkozik. A cikk azon tartalmait, amelyek nem relev�nsak �nnek, letiltjuk.

Az �sszes kibont�sa | Az �sszes �sszecsuk�sa

�sszefoglal�

A Windows rendszerben alkalmazott Kerberos hiteles�t�si csomag a Windows Server 2003, a Windows Server 2008 �s a Windows Vista alap�rtelmezett hiteles�t�si csomagja. Ez a hiteles�t�si protokoll az NTLM k�rd�s-v�lasz protokollal egy�tt alkalmazhat�, �s abban az esetben haszn�latos, ha az �gyf�lsz�m�t�g�p �s a kiszolg�l� egyar�nt t�mogatja a Kerberos-egyeztet�st. Az 1510-es sz�m� RFC-dokumentum szerint az �gyf�lsz�m�t�g�pnek User Datagram Protocol (UDP) datagramot kell k�ldenie a kulcsszolg�ltat� (KDC) IP-c�m�nek 88-as portj�ra, amikor az �gyf�lsz�m�t�g�p kapcsolatba l�p a kulcsszolg�ltat�val. A kulcsszolg�ltat�nak ekkor v�laszdatagramot kell k�ldenie a k�ld� IP-c�m�nek k�ld�si portj�ra. Az RFC-dokumentumban szint�n szerepel, hogy az els�k�nt megk�s�relt protokoll az UDP legyen.

A t�bl�zat �sszecsuk�saA t�bl�zat kibont�sa

Megjegyz�s:

A 4120 jel� RFC-dokumentum elavultt� teszi az 1510 jel� RFC tartalm�t. A 4120 jel� RFC-dokumentum meghat�rozza, hogy a kulcsszolg�ltat�knak el kell fogadniuk a TCP-k�r�seket, �s ezeket a k�r�seket a 88-as (decim�lis) porton kell figyelni�k. Alap�rtelmez�s szerint a Windows Server 2008 �s a Windows Vista el�sz�r a TCP protokoll haszn�lat�ra tesz k�s�rletet a Kerberos hiteles�t�shez, mert a MaxPacketSize be�ll�t�sazonos�t� alap�rtelmezett �rt�ke most 0. A MaxPacketSize seg�ts�g�vel ez a viselked�s tov�bbra is megv�ltoztathat�.

Az UDP-csomagok m�ret�nek korl�toz�sa a k�vetkez� hiba�zenetet eredm�nyezheti a tartom�nyi bejelentkez�sn�l:

Esem�ny-napl�beli hiba: 5719
Forr�s: NETLOGON

Nem �rhet� el Windows NT vagy Windows 2000 tartom�nyvez�rl� a k�vetkez� tartom�nyhoz: tartom�nyn�v. A k�vetkez� hiba t�rt�nt:

Pillanatnyilag nincsenek olyan bel�ptet� kiszolg�l�k, amelyek teljes�thetn�k a bel�p�si k�relmet.

Tov�bb� a Netdiag seg�dprogram a k�vetkez� hiba�zeneteket jelen�theti meg:

1. hiba�zenet

DC list test . . . . . . . . . . . : Failed [WARNING] Cannot call DsBind to SZ�M�T�G�PN�VTARTOM�NYVEZ�RL�.tartom�ny.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]

2. hiba�zenet

Kerberos test. . . . . . . . . . . : Failed [FATAL] Kerberos does not have a ticket for TAGKISZOLG�L�$.]

A Windows XP rendszerben a probl�m�t jelz� esem�ny-napl�beli bejegyz�sek a k�vetkez�k: SPNegotiate 40960 �s Kerberos 10.

Tov�bbi inform�ci�

Ha azt szeretn�, hogy a probl�ma megold�sa automatikusan t�rt�njen, l�pjen tov�bb az Automatikus jav�t�s c�m� szakaszra. A probl�ma saj�t kez� jav�t�s�r�l a K�zi jav�t�s c�m� szakaszban t�j�koz�dhat.

Automatikus jav�t�s

A probl�ma automatikus jav�t�s�hoz kattintson A probl�ma jav�t�sa hivatkoz�sra vagy a f�l�tte l�that� gombra. Ezut�n kattintson a Futtat�s gombra a F�jl let�lt�se p�rbesz�dpanelen, �s k�vesse az automatikus jav�t�si var�zsl� l�p�seit.

A probl�ma jav�t�sa
Microsoft Fix it 50563

Megjegyz�sek

El�fordulhat, hogy a var�zsl� csak angol nyelven �rhet� el. Az automatikus jav�t�s ugyanakkor a Windows t�bbi nyelvi v�ltozat�val is m�k�dik.
Ha ezt a cikket nem azon a sz�m�t�g�pen tekinti meg, amelyen a probl�m�t tapasztalja, az automatikus jav�t�st mentse egy USB-meghajt�ra vagy CD-re, �s azon a sz�m�t�g�pen futtassa, amelyen a hiba jelentkezik.

Ezt k�vet�en ugorjon a Megold�dott a probl�ma? c�m� szakaszra.

K�zi jav�t�s

Fontos: Az al�bbi szakasz, m�dszer vagy feladat a be�ll�t�sjegyz�k (kor�bbi nev�n rendszerle�r� adatb�zis) m�dos�t�s�t is mag�ba foglal� l�p�seket tartalmaz. A be�ll�t�sjegyz�k helytelen m�dos�t�sa azonban komoly probl�m�kat okozhat, ez�rt �gyeljen az utas�t�sok pontos betart�s�ra. A be�ll�t�sjegyz�kr�l m�dos�t�sa el�tt c�lszer� biztons�gi m�solatot k�sz�teni, hogy sz�ks�g eset�n vissza�ll�thassa azt. A be�ll�t�sjegyz�k biztons�gi ment�s�r�l �s vissza�ll�t�s�r�l a Microsoft Tud�sb�zis al�bbi cikk�ben t�j�koz�dhat:

322756� (http://support.microsoft.com/kb/322756/hu/ ) A be�ll�t�sjegyz�k biztons�gi ment�se �s vissza�ll�t�sa Windows XP rendszerben

Fontos: Ha UDP protokollt haszn�l a Kerberos hiteles�t�shez, az �gyf�lsz�m�t�g�p lefagyhat az al�bbi �zenet megjelen�sekor:

Az �n szem�lyes be�ll�t�sainak bet�lt�se.

A Windows Server 2003 rendszerben az UDP protokoll datagramcsomagjainak maxim�lis m�rete alap�rtelmez�s szerint 1465 b�jt. Windows XP �s Windows 2000 rendszer eset�n a maxim�lis m�ret 2000 b�jt. A Transmission Control Protocol (TCP) protokollt akkor haszn�lja a rendszer, amikor a datagramcsomag m�rete meghaladja ezt a maxim�lis �rt�ket. Az UDP protokoll datagramcsomagjainak maxim�lis m�rete a kapcsol�d� be�ll�t�skulcs (kor�bbi nev�n rendszerle�r� kulcs) �s -�rt�k m�dos�t�s�val �ll�that� be.

A Kerberos alap�rtelmez�s szerint offline UDP datagramcsomagokat haszn�l. Bizonyos fi�kok nagyobb Kerberos-hiteles�t�si csomagm�rettel is rendelkezhetnek, melyet sz�mos t�nyez� hat�roz meg, ide�rtve a biztons�gi azonos�t� (SID) el�zm�ny�t �s a csoporttags�got is. A virtu�lis mag�nh�l�zat (VPN) hardverkonfigur�ci�j�t�l f�gg�en ezeknek a nagyobb adatcsomagoknak a virtu�lis mag�nh�l�zaton t�rt�n� �thalad�skor t�redezettnek kell lenni�k. A probl�m�t az UDP protokoll nagyobb Kerberos-adatcsomagjainak t�redezetts�ge okozza. Mivel az UDP egy offline protokoll, a t�redezett UDP-csomagokat eldobja a rendszer, amint azok el�rt�k a nem m�k�d� c�lsz�m�t�g�pet.

Ha 1-re m�dos�tja a MaxPacketSize �rt�k�t, arra k�nyszer�ti az �gyf�lsz�m�t�g�pet, hogy a Kerberos forgalm�t a TCP protokoll haszn�lat�val k�ldje �t a VPN-alag�ton. Mivel a TCP egy kapcsolatalap� protokoll, megb�zhat�bb megold�st k�n�l az adatok VPN-alag�ton t�rt�n� �tvitel�hez. Haszn�lata eset�n a kiszolg�l� abban az esetben is �jrak�relmezi a hi�nyz� adatcsomagot, ha azt a rendszer kor�bban m�r eldobta.

A MaxPacketSize �rt�k 1-re t�rt�n� m�dos�t�s�val a Kerberos-forgalom TCP protokollon kereszt�li lebonyol�t�s�ra k�nyszer�theti az �gyf�lsz�m�t�g�pet. Ehhez hajtsa v�gre a k�vetkez� l�p�seket:

Ind�tsa el a Be�ll�t�sszerkeszt�t.
Keresse meg az al�bbi be�ll�t�skulcsot, majd kattintson r�:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
Megjegyz�s: Ha a Parameters kulcs nem l�tezik, hozza l�tre.
Mutasson a Szerkeszt�s men� �j pontj�ra, majd kattintson a Duplasz� parancsra.
�rja be a MaxPacketSize �rt�ket, majd nyomja le az ENTER billenty�t.
Kattintson dupl�n a MaxPacketSize elemre, �rja be az 1 �rt�ket az �rt�k mez�be, jel�lje be a Decim�lis v�laszt�gombot, �s kattintson az OK gombra.
L�pjen ki a Be�ll�t�sszerkeszt�b�l.
Ind�tsa �jra a sz�m�t�g�pet.

A Microsoft Windows 2000, a Windows XP �s a Windows Server 2003 rendszerben ezt a megold�st kell k�vetni. Windows Vista �s �jabb rendszerekben a MaxPacketSize kulcs alap�rtelmezett �rt�ke �0�, ami az UDP protokoll haszn�lat�t is letiltja a Kerberos-�gyf�lhez.

Megold�dott a probl�ma?

Ellen�rizze, hogy megold�dott-e a probl�ma. Ha igen, nincs m�s teend�je. Ha a probl�ma nem sz�nt meg, l�pjen kapcsolatba a t�mogat�si szolg�lattal (http://support.microsoft.com/contactus) .
�r�mmel v�rjuk visszajelz�s�t. Ha az itt ismertetett megold�ssal kapcsolatban visszajelz�st k�ldene, illetve probl�m�t szeretne bejelenteni, sz�ljon hozz� az automatikus jav�t�ssal foglalkoz� bloghoz (http://blogs.technet.com/fixit4me/) , vagy k�ldj�n egy e-mailt (mailto:fixit4me@microsoft.com?Subject=KB) .

A k�vetkez� sablon egy fel�gyeleti sablon, amely import�lhat� a Csoporth�zirendbe annak �rdek�ben, hogy a MaxPacketSize �rt�k be�ll�that� legyen az �sszes Windows Server 2003, Windows XP vagy Windows 2000 rendszert futtat� v�llalati sz�m�t�g�pen. A MaxPacketSize be�ll�t�s�nak Csoporth�zirendobjektum-szerkeszt�ben t�rt�n� megtekint�s�hez kattintson a N�zet men� Csak a h�zirendek megjelen�t�se parancs�ra (�gy a Csak a h�zirendek megjelen�t�se nem lesz kiv�lasztva). Ez a sablon a H�zirendek r�szen k�v�li be�ll�t�skulcsokat m�dos�tja. A Csoporth�zirendobjektum-szerkeszt� alap�rtelmez�s szerint nem jelen�ti meg ezeket a rendszerbe�ll�t�sokat. A Microsoft Tud�sb�zis kapcsol�d� cikke:

320903� (http://support.microsoft.com/kb/320903/hu/ ) A Kerberos hiteles�t�st haszn�l� �gyfelek nem tudnak bejelentkezni TCP protokollon kereszt�l

A cikkben tal�lhat� inform�ci� a k�vetkez�(k)re vonatkozik:

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows XP Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional Edition
Windows Vista Business
Windows Vista Enterprise
Windows Vista Home Basic
Windows Vista Home Premium
Windows Vista Ultimate
Windows Server 2008 Standard
Windows Server 2008 Enterprise
Windows Server 2008 Datacenter

A lap tetej�re

kbenv kbinfo kbfixme kbmsifixme KB244474

A Microsoft tud�sb�zisban szolg�ltatott inform�ci�kat "az adott �llapotban", b�rminem� szavatoss�g vagy garancia n�lk�l biztos�tjuk. A Microsoft kiz�r mindennem�, ak�r kifejezett, ak�r v�lelmezett szavatoss�got vagy garanci�t, ide�rtve a forgalomk�pess�gre �s az adott c�lra val� alkalmass�gra vonatkoz� szavatoss�got is. A Microsoft Corporation �s annak besz�ll�t�i semmilyen k�r�lm�nyek k�z�tt nem felel�sek semminem� k�r�rt, �gy a k�zvetlen, a k�zvetett, az �zleti haszon elmarad�s�b�l sz�rmaz� vagy speci�lis k�rok�rt, illetve a k�r k�vetkezm�nyek�nt felmer�l� k�lts�gek megt�r�t�s��rt, m�g abban az esetben sem, ha a Microsoft Corporationt vagy besz�ll�t�it az ilyen k�rok bek�vetkezt�nek lehet�s�g�re figyelmeztett�k. Egyes �llamok joga nem teszi lehet�v� bizonyos k�rok�rt a felel�ss�g kiz�r�s�t vagy korl�toz�s�t, ez�rt a fenti korl�toz�sok az �n eset�ben esetleg nem alkalmazhat�k.