Come forzare Kerberos a utilizzare TCP anziché UDP in Windows

Traduzione articoli Traduzione articoli
Identificativo articolo: 244474 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sommario

Il pacchetto di autenticazione Kerberos di Windows è il pacchetto di autenticazione predefinito in Windows Server 2003, Windows Server 2008 e Windows Vista. Esso coesiste con il protocollo in attesa/risposta NTLM e viene utilizzato nei casi in cui un client e un server può negoziare Kerberos. Richiesta per Comments (RFC) 1510 stati che il client dovrebbe inviare un datagramma UDP (User Datagram Protocol) alla porta 88 all'IP indirizzo del centro distribuzione chiavi (KDC) quando un client contatta il KDC. Il KDC dovrebbe rispondere con un datagramma di risposta alla porta di invio all'indirizzo IP del mittente. il RFC è inoltre specificato che UDP deve essere il primo protocollo viene cercato.

Riduci questa tabellaEspandi questa tabella
NotaRFC 4120 sostituisce ora RFC 1510. RFC 4120 specifica che un KDC deve accettare le richieste TCP e deve attendere richieste sulla porta 88 (decimale). Per impostazione predefinita, Windows Server 2008 e Windows Vista tenterà TCP prima di Kerberos poiché il valore predefinito di MaxPacketSize ora 0. È comunque possibile utilizzare il valore MaxPacketSize per ignorare tale comportamento.

Un limite alle dimensioni del pacchetto UDP può causare il seguente messaggio di errore all'accesso al dominio:
Errore del registro eventi 5719
Origine NETLOGON

Non è disponibile per il dominio Windows NT o Windows 2000 Domain ControllerDominio. Si è verificato il seguente errore:

Nessun server di accesso disponibile per soddisfare la richiesta di accesso è attualmente.
Inoltre, questo strumento di strumento può visualizzare messaggi di errore seguenti:
Messaggio di errore 1
Verifica elenco DC........ . . . : [WARNING] errore Impossibile richiamare DsBind per COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Messaggio di errore 2
Test di Kerberos........ . . . : Errore Kerberos [FATAL] non è un ticket per MEMBERSERVER $.]
I registri eventi di Windows XP che sono sintomi di questo problema sono SPNegotiate 40960 e 10 di Kerberos.

Informazioni

Per noi correggere il problema, passare la "Correggere automaticamente"sezione. Se si preferisce risolvere il problema manualmente, procedere con il "Consenti correzione manuale"sezione.

Correggere automaticamente

Per risolvere il problema automaticamente, selezionare laCorreggere l'errorepulsante o collegamento. Fare clic suEseguirenelDownload del filefinestra di dialogo casella e seguire i passaggi della correzione di tale procedura guidata.


Risolvere il problema
Microsoft Fix it 50563


Note
  • Questa procedura guidata può essere solo in inglese. Tuttavia, la correzione automatica funziona anche per altre versioni di Windows.
  • Se non si utilizza il computer che presenta il problema, salvare la correzione tale soluzione da un CD o un'unità memoria flash, quindi eseguirlo sul computer che presenta il problema.

Quindi, passare il "Il problema è stato risolto?"sezione.



Consenti correzione manuale

ImportanteQuesta sezione, metodo o attività contiene viene illustrato come modificare il Registro di sistema. Tuttavia, se l'errata modifica del Registro di sistema può causare seri problemi. Assicurarsi pertanto di seguire attentamente questi passaggi. Per maggiore protezione, eseguire una copia di backup del registro prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base:
322756Backup e ripristino del Registro di sistema in Windows


ImportanteSe si utilizza UDP per Kerberos, il computer client non risponda (si blocchi) quando viene visualizzato il seguente messaggio:
Caricamento delle impostazioni personali.
Per impostazione predefinita, la dimensione massima dei pacchetti datagramma per i quali viene utilizzato UDP è 1,465 byte. Per Windows XP e Windows 2000, il valore massimo è 2.000 byte. TCP (Transmission Control Protocol) viene utilizzato per qualsiasi datagrampacket è maggiore di questo massimo. È possibile modificare la dimensione massima dei pacchetti datagramma per i quali viene utilizzato UDP modificando una chiave del Registro di sistema e il valore.

Per impostazione predefinita, Kerberos utilizza pacchetti di datagramma senza connessione. In base a numerosi fattori, tra cui protezione identificatore (SID) cronologia e gruppo di appartenenza, alcuni account avranno maggiori delle dimensioni dei pacchetti di autenticazione Kerberos. Depending on the virtual private network (VPN) hardware configuration, these larger packets have to be fragmented when going through a VPN. The problem is caused by fragmentation of these large UDP Kerberos packets. Because UDP is a connectionless protocol, fragmented UDP packets will be dropped if they arrive at the destination out of order.

If you change MaxPacketSize to a value of 1, you force the client to use TCP to send Kerberos traffic through the VPN tunnel. Because TCP is connection oriented, it is a more reliable means of transport across the VPN tunnel. Even if the packets are dropped, the server will re-request the missing data packet.


You can change MaxPacketSize to 1 to force the clients to use Kerberos traffic over TCP. A questo scopo, attenersi alla seguente procedura:
  1. Start Registry Editor.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    NotaSe ilParameterskey does not exist, create it now.
  3. NelModificadal menuNuovo, quindi scegliereValore DWORD.
  4. TipoMaxPacketSize, and then press ENTER.
  5. Double-clickMaxPacketSize, tipo1nelDati valorebox, click to select theDecimaleoption, and then click OK.
  6. Chiudere l'editor del Registro di sistema.
  7. Restart your computer.

    This is the solution approach for Microsoft Windows 2000, XP and Server 2003. Windows Vista and newer use a default of "0" for MaxPacketSize which also turns off the use of UDP for the Kerberos Client.

Il problema è stato risolto?

  • Verificare se il problema è stato risolto. Se il problema viene risolto, è necessario continuare con questa sezione. Se il problema non viene risolto, è possibilecontattare il supporto tecnico.
  • Sarebbe grazie ai commenti dei clienti. Per fornire commenti e suggerimenti o per segnalare eventuali problemi con questa soluzione, lasciare un commento sul "Correggere automaticamente"blog o inviarci unposta elettronica.
The following template is an administrative template that can be imported into Group Policy to let the MaxPacketSize value be set for all enterprise computers that are running Windows Server 2003, Windows XP, or Windows 2000. To view the MaxPacketSize settings in Group Policy Object Editor, clickShow Policies OnlynelViewmenu so thatShow Policies Onlyis not selected. This template modifies registry keys outside the Policies section. By default, Group Policy Object Editor does not display these registry settings.For additional information, click the following article number to view the article in the Microsoft Knowledge Base:
320903Clients cannot log on by using Kerberos over TCP

Proprietà

Identificativo articolo: 244474 - Ultima modifica: martedì 14 dicembre 2010 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Chiavi: 
kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 244474
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com