Windows では、UDP ではなく TCP を使用する Kerberos を強制する方法

文書翻訳 文書翻訳
文書番号: 244474 - 対象製品
すべて展開する | すべて折りたたむ

概要

Windows Kerberos 認証パッケージは、Windows Server 2003、Windows Server 2008 および Windows Vista では、既定の認証パッケージです。NTLM チャレンジ/レスポンス プロトコルと共存し、クライアントとサーバーの両方が Kerberos をネゴシエートをする場合に使用されます。リクエスト・フォー・コメント (RFC) 1510では、クライアントがキー配布センター (KDC) に接続すると、クライアントはユーザー データグラム プロトコル (UDP) のデータグラムをキー配布センター (KDC) の IP アドレスの ポート 88に送信します。送信者の IP アドレスの送信元ポートを KDC は応答データグラムに応答します。RFC という内容も UDP プロトコルが試行されるの先頭にする必要があります。

元に戻す全体を表示する
注:RFC 4120 RFC 1510 を今すぐ参照します。RFC 4120 は KDC の TCP 要求に同意する必要があります (10 進) そのような要求をポート 88 をリッスンする必要があることを示します。既定では、Windows Server 2008 と Windows Vista は最初 TCP Kerberos のため、この既定値は 0 です。でもこの動作をオーバーライドするには、このレジストリ値を使用できます。

UDP パケット サイズの制限、ドメイン ログオンで次のエラー メッセージがあります。
イベント ログ エラー 5719
ソース NETLOGON

Windows NT または Windows 2000 のドメイン コント ローラーがドメインのないです。 Domain.次のエラーが発生しました。

現在、ログオン要求を処理できるログオン サーバーはありません。
さらに、Netdiag ツールは、次のエラー メッセージが表示されます。
エラー メッセージ 1
DC 一覧テストを登録: [警告] 失敗した DsBind を COMPUTERNAMEDC.domain.com (159.140.176.32) を呼び出すことはできません。[ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
エラー メッセージ 2
Kerberos のテストです..........。: [致命的] の障害が発生した Kerberos がチケットの MEMBERSERVER$ します。]
この問題の現象は、Windows XP のイベント ログは、SPNegotiate 40960 および Kerberos 10 です。

詳細

問題を修正するに進んで、"Fix it で解決する"セクションに移動します。自分でこの問題を解決したい場合は、「自分で解決する"セクションに移動します。

Fix it で解決する

この問題を自動的に解決するには、[この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、Fix it ウィザードの手順に従います。


この問題を解決する
Microsoft Fix it 50563


注:
  • このウィザードは英語版のみである場合があります。しかし、自動的な解決は英語版以外の Windows でも機能します。
  • 問題が発生しているコンピューターを使用していない場合は、この Fix it ソリューションをフラッシュ ドライブまたは CD に保存し、問題が発生しているコンピューター上で実行します。

このため、Exchange Server 2010 SP1 にパブリック フォルダーがインストールされている場合、空き時間情報取得のリクエストは、Exchange RPC Client Access サービスにより妨害されます。問題が解決されたかどうかの確認"セクションに移動します。



自分で解決する

重要このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、この手順を慎重に実行するようにしてください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合でもレジストリを復元できます。レジストリをバックアップおよび復元する方法の詳細については、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法


重要Kerberos に UDP を使用する場合は、クライアント コンピューターが、次のメッセージが表示されたら、(ハング) を応答を停止します。
個人設定を読み込んでいます。
既定では Windows Server 2003 は UDP のデータグラム パケットの最大サイズは 1,465 バイトです。Windows XP および Windows 2000 では、最大数は 2,000 バイトにします。最大のより大きい datagrampacket は、伝送制御プロトコル (TCP) が使用されます。UDP が使用されるデータグラム パケットの最大サイズは、レジストリ キーと値を変更することによって変更できます。

既定では、Kerberos はコネクションレスの UDP データグラムのパケットを使用します。いくつかのアカウントのセキュリティ識別子 (SID) の履歴やグループ メンバーシップなどの要素に応じて、Kerberos 認証パケット サイズを大きくがあります。仮想プライベート ネットワーク (VPN) のハードウェア構成によって大きなパケットは VPN を通過するときに断片化があります。問題はこれら大量の UDP Kerberos パケットの断片化が発生します。UDP はコネクションレス型のプロトコルであるため、順不同で到着する場合は、断片化された UDP パケットが削除されます。

この 1 の値を変更する場合、クライアントは、VPN トンネル経由の Kerberos トラフィックの送信に TCP を使用するを強制します。TCP は接続指向であるため、VPN トンネル経由でトランスポートの信頼性の高い手段です。パケットは破棄された場合でも、サーバーは再、不足しているデータのパケットを要求します。


この TCP 経由の Kerberos トラフィックを使用するようにクライアントを強制的に 1 に変更できます。これを行うには、次の手順を実行します。
  1. レジストリ エディターを起動します。
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    メモ パラメーターキーが存在しない場合作成、なったはず。
  3. [編集] メニューで、新規作成をポイントし、[ DWORD 値] をクリックします。
  4. タイプ この、し、enter キーを押します。
  5. この、ダブルクリックの種類1[値のデータ] ボックスでを [ 10 進] オプションを選択し、[OK] をクリックします。
  6. レジストリ エディターを終了します。
  7. コンピューターを再起動します。

    これは、Microsoft Windows 2000、XP および Server 2003 向けの解決方法です。Windows Vista と新しい、既定値は「0」を使用する Kerberos クライアントの UDP の使用をオフにしてもこの。

問題が解決されたかどうかの確認

  • 問題が解決したかどうか確認します。問題が解決した場合、このセクションで作業完了となります。問題が解決されていない場合は、 サポートに問い合わせる.
  • 私たちはお客様からのフィードバックを歓迎します。この解決方法に関するフィードバックを提供する、または問題を報告するには、"Fix it で解決するブログにコメントを記入するか、 電子メール.
次のテンプレートは、管理用テンプレートをこの値を Windows Server 2003、Windows XP、または Windows 2000 を実行しているすべての企業のコンピューターの設定をグループ ポリシーにインポートすることができます。この設定は、グループ ポリシー オブジェクト エディターを表示するには、[ポリシーの表示のみ[表示] メニューの [ポリシーの表示のみが選択されないようにします。このテンプレートには、ポリシー セクションの外側でレジストリ キーを変更します。既定では、グループ ポリシー オブジェクト エディターにこれらのレジストリ設定は表示されません。 詳細については、以下の資料番号をクリックしてマイクロソフト サポート技術資料を参照してください。
320903 クライアントは TCP 経由の Kerberos を使用してログオンことはできません。

プロパティ

文書番号: 244474 - 最終更新日: 2013年11月1日 - リビジョン: 6.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
キーワード:?
kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:244474
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com