Cara memaksa Kerberos untuk menggunakan TCP alih-alih UDP di Windows

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 244474
Perbesar semua | Perkecil semua

RINGKASAN

Paket otentikasi Windows Kerberos adalah paket otentikasi bawaan di Windows Server 2003, di Windows Server 2008, dan di Windows Vista. Paket ini disertakan bersama protokol tantangan/tanggapan NTLM dan digunakan apabila klien dan server dapat menegosiasikan Kerberos. Permintaan untuk Komenter (RFC) 1510 menyatakan bahwa klien harus mengirim datagram Protokol Datagram Pengguna (UDP) ke port 88 di alamat IP Pusat Distribusi Kunci (KDC) bila klien menghubungi KDC. KDC harus menanngapi dengan datagram balasan ke port pengirim di alamat IP pengirim. RFC juga menyatakan bahwa UDP harus menjadi protokol pertama yang dicoba.

Perkecil tabel iniPerbesar tabel ini
CatatanRFC 4120 sekarang menggantikan RFC 1510. RFC 4120 menetapkan bahwa KDC harus menerima permintaan TCP dan harus mendengarkan permintaan tersebut di port 88 (desimal). Secara bawaan, Windows Server 2008 dan Windows Vista akan mencoba TCP terlebih dahulu untuk Kerberos karena MaxPacketSize sekarang adalah 0. Anda masih dapat menggunakan nilai registri MaxPacketSize untuk menggantikan perilaku tersebut.

Batasan pada ukuran paket UDP dapat menyebabkan pesan galat berikut ini saat logon domain:
Event Log Error 5719
Source NETLOGON

Tidak ada Pengontrol Domain Windows NT atau Windows 2000 yang tersedia untuk Domain. Galat berikut ini terjadi:

Saat ini tidak tersedia server logon untuk melayani permintaan logon.
Selain itu, alat Netdiag mungkin menampilkan pesan galat berikut ini:
Pesan galat 1
Uji daftar DC. . . . . . . . . . . : Gagal [PERINGATAN] Tidak dapat memanggil DsBind ke COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Pesan galat 2
Uji Kerberos. . . . . . . . . . . : Gagal [FATAL] Kerberos tidak memiliki tiket untuk MEMBERSERVER$.]
Log kejadian Windows XP yang merupakan gejala untuk masalah ini adalah SPNegotiate 40960 dan Kerberos 10.

INFORMASI LEBIH LANJUT

Untuk meminta kami memperbaiki masalah ini, buka bagian "Perbaiki untuk saya". Jika Anda lebih suka memperbaiki sendiri masalah ini, buka bagian "Biarkan saya memperbaiki sendiri".

Perbaiki untuk saya

Untuk mengatasi masalah ini secara otomatis, klik tombol atau tautan Fix it. Klik Jalankan di kotak dialog Unduh Berkas, kemudian ikuti langkah-langkah di wisaya Fix it.


Perbaiki masalah ini
Microsoft Fix it 50563


Catatan
  • Wisaya ini mungkin hanya tersedia dalam bahasa Inggris. Namun, perbaikan otomatis juga dapat berfungsi untuk Windows versi bahasa lainnya.
  • Jika Anda tidak menggunakan komputer yang mengalami masalah, simpan solusi Fix it ke kandar flash atau CD kemudian jalankan di komputer yang mengalami masalah.

Kemudian, buka bagian "Apakah ini memperbaiki masalah?".



Biarkan saya memperbaiki sendiri

Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda untuk memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi kesalahan. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows


Penting Jika Anda menggunakan UDP untuk Kerberos, komputer klien Anda mungkin berhenti menanggapi (macet) bila Anda menerima pesan berikut:
Memuat setelan pribadi Anda.
Secara bawaan, ukuran maksimum paket datagram yang digunakan Windows Server 2003 untuk menggunakan UDP adalah 1.465 bita. Untuk Windows XP dan untuk Windows 2000, ukuran maksimum adalah 2.000 bita. Protokol Kontrol Transmisi (TCP) akan digunakan untuk setiap paket datagram yang lebih besar dari maksimum. Ukuran maksimum paket datagram untuk menggunakan UDP dapat diubah dengan memodifikasi kunci dan nilai registri.

Secara bawaan, Kerberos menggunakan paket datagram UDP tanpa sambungan. Tergantung pada berbagai faktor termasuk riwayat pengidentifikasi keamanan (SID) dan keanggotaan grup, beberapa akun akan memiliki ukuran paket otentikasi Kerberos yang lebih besar. Tergantung pada konfigurasi perangkat keras jaringan pribadi virtual (VPN), paket yang lebih besar ini harus difragmentasi agar dapat melewati VPN. Masalh ini disebabkan oleh fragmentasi paket UDP Kerberos yang lebih besar ini. Karena UDP adalah protokol tanpa sambungan, paket UDP yang terfragmentasi akan dibuang jika rusak saat sampai di tujuan.

Dengan merubah nilai MaxPacketSize ke 1, Anda memaksa klien menggunakan TCP untuk mengirimkan lalu lintas Kerberos melalui terowongan VPN. Karena TCP berorientasi sambungan, merupakan cara transportasi yang lebih handal melewati terowongan VPN. Bahkan jika paket itu dibuang, server akan meminta ulang paket data yang hilang.


Anda dapat menguubah MaxPacketSize ke 1 untuk memaksa klien agar menggunakan lalu lintas Kerberos melalui TCP. Untuk melakukannya, ikuti langkah-langkah berikut:
  1. Mulai Penyunting Registri.
  2. Temukan kemudian klik subkunci registri berikut ini:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    Catatan Jika kunci Parameter tidak ada, buatlah sekarang.
  3. Pada menu Edit, arahkan ke Baru, kemudian klik DWORD Value.
  4. Ketik MaxPacketSize, kemudian tekan ENTER.
  5. Klik dua kali MaxPacketSize, ketik 1 di kotak Data nilai, klik untuk memilih opsi Decimal, kemudian klik OK.
  6. Tutup Penyunting Registri.
  7. Mulai ulang komputer Anda.

    Ini adalah pendekatan solusi untuk Microsoft Windows 2000, XP dan Server 2003. Windows Vista dan yang lebih baru menggunakan nilai bawaan "0" untuk MaxPacketSize yang juga menonaktifkan penggunaan UDP untuk Klien Kerberos.

Apakah ini memperbaiki masalah?

  • Periksa apakah masalah telah diperbaiki. Jika masalah sudah diperbaiki, Anda selesai dengan bagian ini. Jika masalah belum teratasi, Anda dapat menghubungi dukungan.
  • Kami menghargai umpan balik Anda. Untuk memberikan masukan atau melaporkan masalah apa pun dengan solusi ini, berikan komentar di blog "Perbaiki untuk saya" atau kirim email kepada kami.
Pola acu berikut ini adalah pola acu administratif yang dapat diimpor ke Kebijakan Grup agar nilai MaxPacketSize dapat disetel untuk semua komputer perusahaan yang menggunakan Windows Server 2003, Windows XP, atau Windows 2000. Untuk melihat setelan MaxPacketSize dalam Penyunting Objek Kebijakan Grup, klik Tampilkan Hanya Kebijakan pada menu Lihat agar Tampilkan Hanya Kebijakan tidak dipilih. Pola acu ini mengubah kunci registri di luar bagian Kebijakan. Secara bawaan, Penyunting Objek Kebijakan Grup tidak menampilkan setelan registri ini. Untuk informasi tambahan, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
320903 Klien tidak dapat log on menggunakan Kerberos melalui TCP

Properti

ID Artikel: 244474 - Kajian Terakhir: 11 September 2011 - Revisi: 3.0
Kata kunci: 
kbenv kbinfo kbfixme kbmsifixme KB244474

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com