Como forçar Kerberos para usar TCP em vez de UDP no Windows

Traduções deste artigo Traduções deste artigo
ID do artigo: 244474 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi publicado anteriormente em BR244474
Expandir tudo | Recolher tudo

Sumário

O pacote de autenticação Kerberos do Windows é o pacote de autenticação padrão no Windows Server 2003, Windows Server 2008 e Windows Vista. Ele coexiste com o protocolo de desafio/resposta NTLM e é usado em casos onde um cliente e um servidor podem negociar Kerberos. Solicitação de comentários (RFC) 1510 estados que o cliente deve enviar um datagrama UDP (User Datagram Protocol) para a porta 88 no IP endereço de distribuição de chaves Center (KDC) quando um cliente contata o KDC. O KDC deve responder com um datagrama de resposta para a porta de envio no endereço IP do remetente. A RFC também informa que UDP deve ser o primeiro protocolo será tentado.

Recolher esta tabelaExpandir esta tabela
Observação:RFC 4120 agora obsoletos RFC 1510. RFC 4120 Especifica que um KDC deve aceitar as solicitações de TCP e se deve escutar essas solicitações na porta 88 (decimal). Por padrão, Windows Server 2008 e Windows Vista tentará TCP primeiro para o Kerberos como o padrão de MaxPacketSize agora é 0. Você ainda pode usar o valor de registro MaxPacketSize para substituir esse comportamento.

Uma limitação de tamanho de pacote UDP pode causar a seguinte mensagem de erro no logon de domínio:
Erro de log de evento 5719
Fonte de NETLOGON

Windows NT ou o controlador de domínio do Windows 2000 não está disponível para o domínioDomínio. Ocorreu o seguinte erro:

Não há nenhum servidor de logon disponíveis para atender a solicitação de logon.
Além disso, o Netdiag ferramenta pode exibir as seguintes mensagens de erro:
Mensagem de erro 1
Teste de lista do controlador de domínio........ . . . : [Aviso] falhou não é possível chamar DsBind para COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Mensagem de erro 2
Teste de Kerberos........ . . . : Com falha [FATAL] Kerberos não tem um tíquete para MEMBERSERVER $.]
Os logs de eventos do Windows XP que são os sintomas desse problema são SPNegotiate 40960 e 10 do Kerberos.

Mais Informações

Para que nós corrigir o problema para você, vá para o "Corrigi-lo para mimseção". Se você preferir corrigir o problema sozinho, vá para o "Deixe-me a corrigi-lo por mimseção".

Corrigi-lo para mim

Para corrigir o problema automaticamente, clique noCorrigi-lobotão ou link. Clique emExecutarnaDownload de arquivocaixa de diálogo caixa e siga as etapas de correção que o assistente.


Corrigir o problema
Microsoft Fix it 50563


Anotações
  • Este assistente só pode estar em inglês. No entanto, a correção automática também funciona para outras versões de idioma do Windows.
  • Se você não estiver usando o computador em que o problema, salve a correção-solução de uma unidade flash ou CD e, em seguida, execute-o no computador em que o problema.

Em seguida, vá para o "Isso resolveu o problema?seção".



Deixe-me a corrigi-lo por mim

ImportanteNesta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, podem ocorrer problemas graves se modificar o Registro incorretamente. Portanto, certifique-se de que você execute essas etapas com cuidado. Para maior proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registo no Windows


ImportanteSe você usa o UDP para o Kerberos, o computador cliente pode parar de responder (travar) quando você recebe a seguinte mensagem:
Carregando suas configurações pessoais.
Por padrão, o tamanho máximo de pacotes de datagrama para os quais o Windows Server 2003 usa UDP é 1,465 bytes. Para o Windows XP e Windows 2000, o máximo é de 2 mil bytes. Protocolo de controle de transmissão (TCP) é usado para qualquer datagrampacket é maior do que o máximo. O tamanho máximo de pacotes de datagrama para os quais o UDP é usado pode ser alterado, modificando uma chave do registro e um valor.

Por padrão, o Kerberos usa pacotes de datagrama sem conexão UDP. Dependendo de diversos fatores, incluindo o identificador de histórico e o grupo de associação de segurança, algumas contas terão tamanhos maiores de pacote de autenticação Kerberos. Dependendo da configuração de hardware de rede virtual privada (VPN), esses pacotes maiores possuem ser fragmentado, ao passar por uma VPN. O problema é causado pela fragmentação desses pacotes UDP Kerberos grandes. Como o UDP é um protocolo sem conexão, pacotes UDP fragmentados serão descartados se chegarem ao destino fora de ordem.

Se você alterar MaxPacketSize para um valor de 1, você força o cliente para usar TCP para enviar o Kerberos tráfego através do túnel VPN. Como o TCP é orientado por conexão, ele é uma maneira mais confiável de transporte do túnel VPN. Mesmo se os pacotes são descartados, o servidor irá re-request o pacote de dados ausentes.


Você pode alterar MaxPacketSize como 1 para forçar os clientes para usarem o tráfego da Kerberos através do TCP. Para fazer isso, execute essas etapas:
  1. Inicie o Editor do registro.
  2. Localize e, em seguida, clique na seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    Observação:Se aParâmetroschave não existir, crie-o agora.
  3. Sobre oEditaraponte paraNovoe, em seguida, clique emValor DWORD.
  4. TipoMaxPacketSize, e então pressione ENTER.
  5. Clique duas vezes emMaxPacketSize, tipo1naDados de valorcaixa, clique para selecionar oDecimalopção e, em seguida, clique em OK.
  6. Feche o Editor do registro.
  7. Reinicie o computador.

    Essa é a abordagem de solução para o Microsoft Windows 2000, XP e Server 2003. O Windows Vista e o uso mais recente padrão de "0" para MaxPacketSize que também desativa o uso de UDP para o cliente Kerberos.

Isso resolveu o problema?

  • Verifique se o problema seja corrigido. Se o problema seja corrigido, você terá concluído esta seção. Se o problema não for corrigido, você pode:entre em contato com o suporte.
  • Apreciamos os seus comentários. Para fornecer comentários ou relatar os problemas com essa solução, deixe um comentário sobre o "Corrigi-lo para mim"blog ou envie-em umemail.
O modelo a seguir é um modelo administrativo que pode ser importado para a diretiva de grupo para permitir que o valor de MaxPacketSize ser definidas para todos os computadores da empresa que estejam executando o Windows Server 2003, Windows XP ou Windows 2000. Para exibir as configurações de MaxPacketSize no Editor de objeto de diretiva de grupo, clique emMostrar apenas de diretivassobre oModo de exibiçãomenu para queMostrar apenas de diretivasnão é selecionada. Esse modelo modifica chaves de registro fora da seção de diretivas. Por padrão, o Editor de objeto de diretiva de grupo não exibe essas configurações do registro.Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
320903Os clientes não podem fazer logon usando o Kerberos sobre TCP

Propriedades

ID do artigo: 244474 - Última revisão: terça-feira, 14 de dezembro de 2010 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Palavras-chave: 
kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 244474

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com