Az UDP helyett a TCP protokoll használatának kényszerítése a Kerberos szolgáltatásban Windows rendszer esetén

A cikk fordítása A cikk fordítása
Cikk azonosítója: 244474 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

Összefoglaló

A Windows rendszerben alkalmazott Kerberos hitelesítési csomag a Windows Server 2003, a Windows Server 2008 és a Windows Vista alapértelmezett hitelesítési csomagja. Ez a hitelesítési protokoll az NTLM kérdés-válasz protokollal együtt alkalmazható, és abban az esetben használatos, ha az ügyfélszámítógép és a kiszolgáló egyaránt támogatja a Kerberos-egyeztetést. Az 1510-es számú RFC-dokumentum szerint az ügyfélszámítógépnek User Datagram Protocol (UDP) datagramot kell küldenie a kulcsszolgáltató (KDC) IP-címének 88-as portjára, amikor az ügyfélszámítógép kapcsolatba lép a kulcsszolgáltatóval. A kulcsszolgáltatónak ekkor válaszdatagramot kell küldenie a küldő IP-címének küldési portjára. Az RFC-dokumentumban szintén szerepel, hogy az elsőként megkísérelt protokoll az UDP legyen.

A táblázat összecsukásaA táblázat kibontása
Megjegyzés:A 4120 jelű RFC-dokumentum elavulttá teszi az 1510 jelű RFC tartalmát. A 4120 jelű RFC-dokumentum meghatározza, hogy a kulcsszolgáltatóknak el kell fogadniuk a TCP-kéréseket, és ezeket a kéréseket a 88-as (decimális) porton kell figyelniük. Alapértelmezés szerint a Windows Server 2008 és a Windows Vista először a TCP protokoll használatára tesz kísérletet a Kerberos hitelesítéshez, mert a MaxPacketSize beállításazonosító alapértelmezett értéke most 0. A MaxPacketSize segítségével ez a viselkedés továbbra is megváltoztatható.

Az UDP-csomagok méretének korlátozása a következő hibaüzenetet eredményezheti a tartományi bejelentkezésnél:
Esemény-naplóbeli hiba: 5719
Forrás: NETLOGON

Nem érhető el Windows NT vagy Windows 2000 tartományvezérlő a következő tartományhoz: tartománynév. A következő hiba történt:

Pillanatnyilag nincsenek olyan beléptető kiszolgálók, amelyek teljesíthetnék a belépési kérelmet.
Továbbá a Netdiag segédprogram a következő hibaüzeneteket jelenítheti meg:
1. hibaüzenet
DC list test . . . . . . . . . . . : Failed [WARNING] Cannot call DsBind to SZÁMÍTÓGÉPNÉVTARTOMÁNYVEZÉRLŐ.tartomány.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
2. hibaüzenet
Kerberos test. . . . . . . . . . . : Failed [FATAL] Kerberos does not have a ticket for TAGKISZOLGÁLÓ$.]
A Windows XP rendszerben a problémát jelző esemény-naplóbeli bejegyzések a következők: SPNegotiate 40960 és Kerberos 10.

További információ

Ha azt szeretné, hogy a probléma megoldása automatikusan történjen, lépjen tovább az Automatikus javítás című szakaszra. A probléma saját kezű javításáról a Kézi javítás című szakaszban tájékozódhat.

Automatikus javítás

A probléma automatikus javításához kattintson A probléma javítása hivatkozásra vagy a fölötte látható gombra. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.


A probléma javítása
Microsoft Fix it 50563


Megjegyzések
  • Előfordulhat, hogy a varázsló csak angol nyelven érhető el. Az automatikus javítás ugyanakkor a Windows többi nyelvi változatával is működik.
  • Ha ezt a cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, az automatikus javítást mentse egy USB-meghajtóra vagy CD-re, és azon a számítógépen futtassa, amelyen a hiba jelentkezik.

Ezt követően ugorjon a Megoldódott a probléma? című szakaszra.



Kézi javítás

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magába foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows XP rendszerben


Fontos: Ha UDP protokollt használ a Kerberos hitelesítéshez, az ügyfélszámítógép lefagyhat az alábbi üzenet megjelenésekor:
Az Ön személyes beállításainak betöltése.
A Windows Server 2003 rendszerben az UDP protokoll datagramcsomagjainak maximális mérete alapértelmezés szerint 1465 bájt. Windows XP és Windows 2000 rendszer esetén a maximális méret 2000 bájt. A Transmission Control Protocol (TCP) protokollt akkor használja a rendszer, amikor a datagramcsomag mérete meghaladja ezt a maximális értéket. Az UDP protokoll datagramcsomagjainak maximális mérete a kapcsolódó beállításkulcs (korábbi nevén rendszerleíró kulcs) és -érték módosításával állítható be.

A Kerberos alapértelmezés szerint offline UDP datagramcsomagokat használ. Bizonyos fiókok nagyobb Kerberos-hitelesítési csomagmérettel is rendelkezhetnek, melyet számos tényező határoz meg, ideértve a biztonsági azonosító (SID) előzményét és a csoporttagságot is. A virtuális magánhálózat (VPN) hardverkonfigurációjától függően ezeknek a nagyobb adatcsomagoknak a virtuális magánhálózaton történő áthaladáskor töredezettnek kell lenniük. A problémát az UDP protokoll nagyobb Kerberos-adatcsomagjainak töredezettsége okozza. Mivel az UDP egy offline protokoll, a töredezett UDP-csomagokat eldobja a rendszer, amint azok elérték a nem működő célszámítógépet.

Ha 1-re módosítja a MaxPacketSize értékét, arra kényszeríti az ügyfélszámítógépet, hogy a Kerberos forgalmát a TCP protokoll használatával küldje át a VPN-alagúton. Mivel a TCP egy kapcsolatalapú protokoll, megbízhatóbb megoldást kínál az adatok VPN-alagúton történő átviteléhez. Használata esetén a kiszolgáló abban az esetben is újrakérelmezi a hiányzó adatcsomagot, ha azt a rendszer korábban már eldobta.


A MaxPacketSize érték 1-re történő módosításával a Kerberos-forgalom TCP protokollon keresztüli lebonyolítására kényszerítheti az ügyfélszámítógépet. Ehhez hajtsa végre a következő lépéseket:
  1. Indítsa el a Beállításszerkesztőt.
  2. Keresse meg az alábbi beállításkulcsot, majd kattintson rá:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    Megjegyzés: Ha a Parameters kulcs nem létezik, hozza létre.
  3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
  4. Írja be a MaxPacketSize értéket, majd nyomja le az ENTER billentyűt.
  5. Kattintson duplán a MaxPacketSize elemre, írja be az 1 értéket az Érték mezőbe, jelölje be a Decimális választógombot, és kattintson az OK gombra.
  6. Lépjen ki a Beállításszerkesztőből.
  7. Indítsa újra a számítógépet.

    A Microsoft Windows 2000, a Windows XP és a Windows Server 2003 rendszerben ezt a megoldást kell követni. Windows Vista és újabb rendszerekben a MaxPacketSize kulcs alapértelmezett értéke „0”, ami az UDP protokoll használatát is letiltja a Kerberos-ügyfélhez.

Megoldódott a probléma?

  • Ellenőrizze, hogy megoldódott-e a probléma. Ha igen, nincs más teendője. Ha a probléma nem szűnt meg, lépjen kapcsolatba a támogatási szolgálattal.
  • Örömmel várjuk visszajelzését. Ha az itt ismertetett megoldással kapcsolatban visszajelzést küldene, illetve problémát szeretne bejelenteni, szóljon hozzá az automatikus javítással foglalkozó bloghoz, vagy küldjön egy e-mailt.
A következő sablon egy felügyeleti sablon, amely importálható a Csoportházirendbe annak érdekében, hogy a MaxPacketSize érték beállítható legyen az összes Windows Server 2003, Windows XP vagy Windows 2000 rendszert futtató vállalati számítógépen. A MaxPacketSize beállításának Csoportházirendobjektum-szerkesztőben történő megtekintéséhez kattintson a Nézet menü Csak a házirendek megjelenítése parancsára (így a Csak a házirendek megjelenítése nem lesz kiválasztva). Ez a sablon a Házirendek részen kívüli beállításkulcsokat módosítja. A Csoportházirendobjektum-szerkesztő alapértelmezés szerint nem jeleníti meg ezeket a rendszerbeállításokat. A Microsoft Tudásbázis kapcsolódó cikke:
320903 A Kerberos hitelesítést használó ügyfelek nem tudnak bejelentkezni TCP protokollon keresztül

Tulajdonságok

Cikk azonosítója: 244474 - Utolsó ellenőrzés: 2011. szeptember 11. - Verziószám: 3.0
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Kulcsszavak: 
kbenv kbinfo kbfixme kbmsifixme KB244474
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com