Como forçar o Kerberos a utilizar TCP em vez de UDP no Windows

O pacote de autenticação Kerberos do Windows é o pacote de autenticação predefinido no Windows Server 2003, no Windows Server 2008 e do Windows Vista. -Coexists com o protocolo de desafio/resposta NTLM e é utilizado em instâncias em que um cliente e um servidor possam negociar Kerberos. Pedido de comentários (RFC) 1510 Estados que o cliente deve enviar um datagrama de User Datagram Protocol (UDP) para porta 88 no período de inquérito endereço do Key Distribution Center (KDC) quando um cliente contacta o KDC. O KDC deve responder com um datagrama de resposta para a porta de envio no endereço IP do remetente. O RFC também indica que o UDP deve ser o primeiro protocolo é tentado.


Uma limitação de tamanho de pacote UDP pode fazer com que a seguinte mensagem de erro no domínio de início de sessão:Além disso, o Netdiag ferramenta poderá apresentar as seguintes mensagens de erro:Os registos de eventos do Windows XP que são sintomas deste problema são SPNegotiate 40960 e 10 de Kerberos.

Para ter-na corrigir o problema para si, vá para o "Corrija-o para mim"secção. Se preferir corrigir este problema manualmente, vá para o "Deixar-me corrigi-lo manualmente"secção.

Corrija-o para mim

Para corrigir este problema automaticamente, faça clique sobre oCorrija-obotão ou hiperligação. Clique emExecutarnaTransferência de ficheirosdiálogo caixa e siga os passos da correcção do assistente-lo.




Notas

• Este assistente pode ser apenas em inglês. No entanto, a correcção automática também funciona para outras versões de idioma do Windows.
• Se não estiver a utilizar o computador com o problema, guarde a correcção esta solução para um CD ou uma unidade flash e, em seguida, executá-lo no computador que tem o problema.

Em seguida, vá para o "Isto corrigiu o problema?"secção.

Deixar-me corrigi-lo manualmente

ImportanteNesta secção, o método ou a tarefa contém passos que indicam como modificar o registo. No entanto, podem ocorrer problemas sérios se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

ImportanteSe utilizar UDP para Kerberos, o computador cliente poderá deixar de responder (não reagir) quando receber a seguinte mensagem:Por predefinição, o tamanho máximo de datagramas para que Windows Server 2003 utiliza o UDP é 1465 bytes. Para o Windows XP e Windows 2000, este máximo é 2000 bytes. Protocolo de controlo de transmissão (TCP) é utilizado para qualquer datagrampacket superior a esse valor máximo. O tamanho máximo de datagramas para que o UDP é utilizado pode ser alterado através da modificação de uma chave de registo e um valor.

Por predefinição, o Kerberos utiliza datagramas UDP sem ligação. Dependendo de vários factores, incluindo o histórico e grupo membros do identificador de segurança (SID) de segurança, algumas contas terão tamanhos de pacote de autenticação Kerberos maiores. Dependendo da configuração do hardware de rede privada virtual (VPN), estes pacotes maiores têm de ser fragmentados quando passar através de uma VPN. O problema é causado pela fragmentação destes pacotes de UDP Kerberos grande. Uma vez que o UDP é um protocolo sem ligação, os pacotes UDP fragmentados serão ignorados se que chegam ao destino fora de ordem.

Se alterar MaxPacketSize para um valor de 1, forçar o cliente a utilizar TCP para enviar Kerberos tráfego através do túnel VPN. Uma vez que TCP orientado, é um meio de transporte mais fiável através do túnel VPN. Mesmo que os pacotes sejam ignorados, o servidor irá re-request pacote de dados em falta.


Pode alterar MaxPacketSize para 1 para forçar os clientes a utilizar tráfego Kerberos sobre TCP. Para o fazer, siga estes passos:

1. Inicie o Editor de registo.
2. Localize e clique na seguinte subchave de registo:
   Kerberos\Parameters de HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\
   NotaSe oParâmetroschave não existir, crie-a.
3. Sobre oEditarmenu, aponte paraNovoe, em seguida, clique emValor DWORD.
4. TipoMaxPacketSize, e, em seguida, prima ENTER.
5. Faça duplo clique emMaxPacketSize, tipo1naDados de valorClique para seleccionar aDecimalopção e, em seguida, clique em OK.
6. Saia do Editor de registo.
7. Reinicie o computador.
   
   Esta é a abordagem da solução para o Microsoft Windows 2000, XP e Server 2003. Windows Vista e utilização mais recente uma predefinição de "0" para MaxPacketSize que também desactiva a utilização de UDP para o cliente Kerberos.
   

Isto corrigiu o problema?

• Verifique se o problema está resolvido. Se o problema for resolvido, acabar com esta secção. Se o problema não for resolvido, podecontactar o suporte (http://support.microsoft.com/contactus) .
• Seria Agradecemos os seus comentários. Para enviar comentários ou para comunicar quaisquer problemas relacionados com esta solução, deixe um comentário sobre o "Corrija-o para mim (http://blogs.technet.com/fixit4me/) "blogue ou envie-numamensagem de correio electrónico (mailto:fixit4me@microsoft.com?Subject=KB) .

O modelo seguinte é um modelo administrativo que pode ser importado para a política de grupo para permitir que o valor de MaxPacketSize ser definido para todos os computadores da empresa que estão a executar o Windows Server 2003, Windows XP ou Windows 2000. Para visualizar as definições de MaxPacketSize do Editor de objecto de política de grupo, clique emMostrar apenas políticassobre oVistamenu para queMostrar apenas políticasnão está seleccionada. Este modelo modifica as chaves de registo fora da secção de políticas. Por predefinição, o Editor de objecto de política de grupo não apresenta estas definições de registo.Para obter informações adicionais, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base: