Kerberos dwingen om TCP in plaats van UDP te gebruiken in Windows

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 244474 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Samenvatting

Het Windows Kerberos-verificatiepakket is het standaardverificatiepakket in Windows Server 2003, Windows Server 2008 en Windows Vista. Het kan samengaan met het vraag/antwoord-protocol NTLM en wordt gebruikt in situaties waarin zowel een client als een server Kerberos-verificatie kan onderhandelen. RFC 1510 (Request for Comments) geeft aan dat de client een UDP-datagram (User Datagram Protocol) naar poort 88 op het IP-adres van het KDC (Key Distribution Center) moet sturen wanneer een client contact maakt met het KDC. Het KDC moet reageren met een antwoorddatagram voor de verzendende poort op het IP-adres van de afzender. Het RFC geeft tevens aan dat UDP het eerste protocol moet zijn waarmee een poging wordt uitgevoerd.

Deze tabel samenvouwenDeze tabel uitklappen
OpmerkingRFC 4120 is de verouderde versie van RFC 1510. In RFC 4120 is gespecificeerd dat een KDC TCP-verzoeken moet accepteren en naar dergelijke verzoeken moet luisteren op poort 88 (decimaal). In Windows Server 2008 en in Windows Vista zal voor Kerberos standaard eerst een poging worden uitgevoerd met TCP, omdat de MaxPacketSize nu standaard 0 is. U kunt dat gedrag nog steeds wijzigen via de registerwaarde MaxPacketSize.

Een beperking van de UDP-pakketgrootte kan de volgende fout veroorzaken bij aanmelding bij een domein:
Event Log Error 5719
Bron NETLOGON

Er is geen Windows NT- of Windows 2000-domeincontroller beschikbaar voor domein domeinnaam. De volgende fout is opgetreden:

Er zijn momenteel geen aanmeldingsservers beschikbaar om de aanmeldingsaanvraag te verwerken.
Bovendien geeft het hulpprogramma Netdiag mogelijk de volgende foutberichten weer:
Foutbericht 1
DC list test . . . . . . . . . . . : Failed [WARNING] Cannot call DsBind to COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Foutbericht 2
Kerberos test. . . . . . . . . . . : Failed [FATAL] Kerberos does not have a ticket for MEMBERSERVER$.]
De Windows XP-gebeurtenislogboeken die symptomen zijn van dit probleem, zijn SPNegotiate 40960 en Kerberos 10.

Meer informatie

Als u het probleem automatisch wilt laten oplossen, gaat u naar de sectie Het probleem voor mij oplossen. Als u dit probleem liever zelf oplost, gaat u naar de sectie Dit probleem zelf oplossen.

Het probleem voor mij oplossen

Als u dit probleem automatisch wilt oplossen, klikt u op de knop of koppeling Dit probleem oplossen. Klik vervolgens op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.


Dit probleem oplossen
Microsoft Fix it 50563


Opmerkingen
  • Deze wizard is mogelijk alleen beschikbaar in het Engels. De automatische correctie werkt echter ook voor andere taalversies van Windows.
  • Als u niet op de computer werkt waarop het probleem optreedt, kunt u de Fix it-oplossing opslaan op een flashstation of een cd, zodat u deze software kunt uitvoeren op de computer waarop het probleem optreedt.

Ga vervolgens naar de sectie Is het probleem opgelost?



Dit probleem zelf oplossen

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
322756 Back-ups van het register maken en het register terugzetten in Windows


Belangrijk Als u UDP gebruikt voor Kerberos, kan de clientcomputer vastlopen wanneer het volgende bericht wordt weergegeven:
Uw persoonlijke instellingen worden geladen?
De maximale grootte van datagrampakketten waarbij Windows Server 2003 gebruikmaakt van UDP, is 1465 bytes. Voor Windows XP en Windows 2000 is de maximale grootte 2000 bytes. TCP (Transmission Control Protocol) wordt gebruikt voor datagrampakketten die dit maximum overschrijden. De maximale grootte van datagrampakketten waarvoor UDP wordt gebruikt, kan worden gewijzigd door een registersleutel en -waarde te wijzigen.

Kerberos gebruikt standaard UDP-datagrampakketten zonder verbinding. Afhankelijk van een reeks verschillende factoren, waaronder SID-geschiedenis (Security Identifier) en groepslidmaatschap, hebben sommige accounts grotere Kerberos-verificatiepakketten. Al naar gelang de configuratie van de VPN-hardware (Virtual Private Network), moeten deze pakketten worden gefragmenteerd wanneer ze door een VPN worden geleid. Het probleem wordt veroorzaakt door fragmentatie van deze grote UDP Kerberos-pakketten. Omdat UDP een protocol zonder verbinding is, worden gefragmenteerde UDP-pakketten afgewezen als ze niet in de juiste volgorde op de bestemming aankomen.

Als u MaxPacketSize wijzigt in de waarde 1, dwingt u de client om TCP te gebruiken bij het verzenden van Kerberos-verkeer via de VPN-tunnel. Aangezien TCP gericht is op verbindingen, is dit een betrouwbaarder transportmiddel via de VPN-tunnel. Zelfs als pakketten worden afgewezen, zal de server de ontbrekende gegevenspakketten opnieuw opvragen.


U kunt MaxPacketSize wijzigen in 1 om clients te dwingen tot het gebruik van Kerberos-verkeer via TCP. Hiertoe gaat u als volgt te werk:
  1. Start Register-editor.
  2. Zoek naar en klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    Opmerking Als de sleutel Parameters niet bestaat, maakt u deze nu.
  3. Open het menu Bewerken, wijs de optie Nieuw aan en klik op DWORD-waarde.
  4. Typ MaxPacketSize en druk op Enter.
  5. Dubbelklik op MaxPacketSize, typ 1 in het vak Waardegegevens, klik op Decimaal en klik op OK.
  6. Sluit de Register-editor af.
  7. Start de computer opnieuw op.

    Deze probleemoplossing is van toepassing op Microsoft Windows 2000, XP en Server 2003. Vanaf Windows Vista wordt standaard de waarde 0 gebruikt voor MaxPacketSize, waarmee ook het gebruik van UDP voor de Kerberos-client wordt uitgeschakeld.

Is het probleem opgelost?

  • Controleer of het probleem is opgelost. Als het probleem is opgelost, bent u klaar met deze sectie. Als het probleem niet is verholpen, kunt u contact opnemen met de ondersteuningsservice.
  • Wij stellen uw feedback op prijs. Als u feedback hebt of als u problemen met deze oplossing wilt rapporteren, kunt u een bericht plaatsen op het blog Het probleem voor mij oplossen of u kunt ons een e-mail sturen.
De volgende sjabloon is een beheersjabloon die kan worden geïmporteerd in groepsbeleid om de waarde voor MaxPacketSize in te stellen voor alle bedrijfscomputers waarop Windows Server 2003, Windows XP of Windows 2000 wordt uitgevoerd. Als u de instellingen voor MaxPacketSize wilt weergeven in de Groepsbeleidsobjecteditor, schakelt u de optie Alleen beleid weergeven in het menu Beeld uit door op de optie te klikken. Deze sjabloon wijzigt registersleutels buiten de Beleid-sectie. Standaard geeft de Groepsbeleidsobjecteditor deze registerinstellingen niet weer. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
320903 Clients kunnen zich niet aanmelden met Kerberos via TCP

Eigenschappen

Artikel ID: 244474 - Laatste beoordeling: zondag 11 september 2011 - Wijziging: 3.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows® 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Trefwoorden: 
kbenv kbinfo kbfixme kbmsifixme KB244474

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com