Como forçar Kerberos para usar TCP em vez de UDP no Windows

O pacote de autenticação Kerberos do Windows é o pacote de autenticação padrão no Windows Server 2003, Windows Server 2008 e Windows Vista. Ele coexiste com o protocolo de desafio/resposta NTLM e é usado em casos onde um cliente e um servidor podem negociar Kerberos. Solicitação de comentários (RFC) 1510 estados que o cliente deve enviar um datagrama UDP (User Datagram Protocol) para a porta 88 no IP endereço de distribuição de chaves Center (KDC) quando um cliente contata o KDC. O KDC deve responder com um datagrama de resposta para a porta de envio no endereço IP do remetente. A RFC também informa que UDP deve ser o primeiro protocolo será tentado.


Uma limitação de tamanho de pacote UDP pode causar a seguinte mensagem de erro no logon de domínio:Além disso, o Netdiag ferramenta pode exibir as seguintes mensagens de erro:Os logs de eventos do Windows XP que são os sintomas desse problema são SPNegotiate 40960 e 10 do Kerberos.

Para que nós corrigir o problema para você, vá para o "Corrigi-lo para mimseção". Se você preferir corrigir o problema sozinho, vá para o "Deixe-me a corrigi-lo por mimseção".

Corrigi-lo para mim

Para corrigir o problema automaticamente, clique noCorrigi-lobotão ou link. Clique emExecutarnaDownload de arquivocaixa de diálogo caixa e siga as etapas de correção que o assistente.




Anotações

• Este assistente só pode estar em inglês. No entanto, a correção automática também funciona para outras versões de idioma do Windows.
• Se você não estiver usando o computador em que o problema, salve a correção-solução de uma unidade flash ou CD e, em seguida, execute-o no computador em que o problema.

Em seguida, vá para o "Isso resolveu o problema?seção".

Deixe-me a corrigi-lo por mim

ImportanteNesta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, podem ocorrer problemas graves se modificar o Registro incorretamente. Portanto, certifique-se de que você execute essas etapas com cuidado. Para maior proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

ImportanteSe você usa o UDP para o Kerberos, o computador cliente pode parar de responder (travar) quando você recebe a seguinte mensagem:Por padrão, o tamanho máximo de pacotes de datagrama para os quais o Windows Server 2003 usa UDP é 1,465 bytes. Para o Windows XP e Windows 2000, o máximo é de 2 mil bytes. Protocolo de controle de transmissão (TCP) é usado para qualquer datagrampacket é maior do que o máximo. O tamanho máximo de pacotes de datagrama para os quais o UDP é usado pode ser alterado, modificando uma chave do registro e um valor.

Por padrão, o Kerberos usa pacotes de datagrama sem conexão UDP. Dependendo de diversos fatores, incluindo o identificador de histórico e o grupo de associação de segurança, algumas contas terão tamanhos maiores de pacote de autenticação Kerberos. Dependendo da configuração de hardware de rede virtual privada (VPN), esses pacotes maiores possuem ser fragmentado, ao passar por uma VPN. O problema é causado pela fragmentação desses pacotes UDP Kerberos grandes. Como o UDP é um protocolo sem conexão, pacotes UDP fragmentados serão descartados se chegarem ao destino fora de ordem.

Se você alterar MaxPacketSize para um valor de 1, você força o cliente para usar TCP para enviar o Kerberos tráfego através do túnel VPN. Como o TCP é orientado por conexão, ele é uma maneira mais confiável de transporte do túnel VPN. Mesmo se os pacotes são descartados, o servidor irá re-request o pacote de dados ausentes.


Você pode alterar MaxPacketSize como 1 para forçar os clientes para usarem o tráfego da Kerberos através do TCP. Para fazer isso, execute essas etapas:

1. Inicie o Editor do registro.
2. Localize e, em seguida, clique na seguinte subchave do registro:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
   Observação:Se aParâmetroschave não existir, crie-o agora.
3. Sobre oEditaraponte paraNovoe, em seguida, clique emValor DWORD.
4. TipoMaxPacketSize, e então pressione ENTER.
5. Clique duas vezes emMaxPacketSize, tipo1naDados de valorcaixa, clique para selecionar oDecimalopção e, em seguida, clique em OK.
6. Feche o Editor do registro.
7. Reinicie o computador.
   
   Essa é a abordagem de solução para o Microsoft Windows 2000, XP e Server 2003. O Windows Vista e o uso mais recente padrão de "0" para MaxPacketSize que também desativa o uso de UDP para o cliente Kerberos.
   

Isso resolveu o problema?

• Verifique se o problema seja corrigido. Se o problema seja corrigido, você terá concluído esta seção. Se o problema não for corrigido, você pode:entre em contato com o suporte (http://support.microsoft.com/contactus) .
• Apreciamos os seus comentários. Para fornecer comentários ou relatar os problemas com essa solução, deixe um comentário sobre o "Corrigi-lo para mim (http://blogs.technet.com/fixit4me/) "blog ou envie-em umemail (mailto:fixit4me@microsoft.com?Subject=KB) .

O modelo a seguir é um modelo administrativo que pode ser importado para a diretiva de grupo para permitir que o valor de MaxPacketSize ser definidas para todos os computadores da empresa que estejam executando o Windows Server 2003, Windows XP ou Windows 2000. Para exibir as configurações de MaxPacketSize no Editor de objeto de diretiva de grupo, clique emMostrar apenas de diretivassobre oModo de exibiçãomenu para queMostrar apenas de diretivasnão é selecionada. Esse modelo modifica chaves de registro fora da seção de diretivas. Por padrão, o Editor de objeto de diretiva de grupo não exibe essas configurações do registro.Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: