Como forçar o Kerberos a utilizar TCP em vez de UDP no Windows

Traduções de Artigos Traduções de Artigos
Artigo: 244474 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sumário

O pacote de autenticação Kerberos do Windows é o pacote de autenticação predefinido no Windows Server 2003, no Windows Server 2008 e do Windows Vista. -Coexists com o protocolo de desafio/resposta NTLM e é utilizado em instâncias em que um cliente e um servidor possam negociar Kerberos. Pedido de comentários (RFC) 1510 Estados que o cliente deve enviar um datagrama de User Datagram Protocol (UDP) para porta 88 no período de inquérito endereço do Key Distribution Center (KDC) quando um cliente contacta o KDC. O KDC deve responder com um datagrama de resposta para a porta de envio no endereço IP do remetente. O RFC também indica que o UDP deve ser o primeiro protocolo é tentado.

Reduzir esta tabelaExpandir esta tabela
NotaRFC 4120 agora obsoletes RFC 1510. RFC 4120 Especifica que um KDC tem de aceitar pedidos TCP e deve estar em escuta para esses pedidos na porta 88 (decimal). Por predefinição, Windows Server 2008 e Windows Vista irão tentar TCP primeiro para Kerberos porque a predefinição de MaxPacketSize agora é 0. Pode ainda utilizar o valor de registo MaxPacketSize para substituir este comportamento.

Uma limitação de tamanho de pacote UDP pode fazer com que a seguinte mensagem de erro no domínio de início de sessão:
Erro do registo de eventos 5719
Origem NETLOGON

Não Windows NT ou o controlador de domínio do Windows 2000 está disponível para o domínioDomínio. Ocorreu o seguinte erro:

Não existem actualmente servidores de início de sessão disponíveis para assistirem o pedido de início de sessão.
Além disso, o Netdiag ferramenta poderá apresentar as seguintes mensagens de erro:
Mensagem de erro 1
Ensaio de lista de DC........ . . . : [Aviso] falhado não é possível chamar DsBind para COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Mensagem de erro 2
Ensaio de Kerberos........ . . . : Falhado de [FATAL] de Kerberos não tiver uma permissão para MEMBERSERVER $.]
Os registos de eventos do Windows XP que são sintomas deste problema são SPNegotiate 40960 e 10 de Kerberos.

Mais Informação

Para ter-na corrigir o problema para si, vá para o "Corrija-o para mim"secção. Se preferir corrigir este problema manualmente, vá para o "Deixar-me corrigi-lo manualmente"secção.

Corrija-o para mim

Para corrigir este problema automaticamente, faça clique sobre oCorrija-obotão ou hiperligação. Clique emExecutarnaTransferência de ficheirosdiálogo caixa e siga os passos da correcção do assistente-lo.


Corrigir este problema
Microsoft Fix it 50563


Notas
  • Este assistente pode ser apenas em inglês. No entanto, a correcção automática também funciona para outras versões de idioma do Windows.
  • Se não estiver a utilizar o computador com o problema, guarde a correcção esta solução para um CD ou uma unidade flash e, em seguida, executá-lo no computador que tem o problema.

Em seguida, vá para o "Isto corrigiu o problema?"secção.



Deixar-me corrigi-lo manualmente

ImportanteNesta secção, o método ou a tarefa contém passos que indicam como modificar o registo. No entanto, podem ocorrer problemas sérios se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar cópias de segurança e restaurar o registo no Windows


ImportanteSe utilizar UDP para Kerberos, o computador cliente poderá deixar de responder (não reagir) quando receber a seguinte mensagem:
A carregar as suas definições pessoais.
Por predefinição, o tamanho máximo de datagramas para que Windows Server 2003 utiliza o UDP é 1465 bytes. Para o Windows XP e Windows 2000, este máximo é 2000 bytes. Protocolo de controlo de transmissão (TCP) é utilizado para qualquer datagrampacket superior a esse valor máximo. O tamanho máximo de datagramas para que o UDP é utilizado pode ser alterado através da modificação de uma chave de registo e um valor.

Por predefinição, o Kerberos utiliza datagramas UDP sem ligação. Dependendo de vários factores, incluindo o histórico e grupo membros do identificador de segurança (SID) de segurança, algumas contas terão tamanhos de pacote de autenticação Kerberos maiores. Dependendo da configuração do hardware de rede privada virtual (VPN), estes pacotes maiores têm de ser fragmentados quando passar através de uma VPN. O problema é causado pela fragmentação destes pacotes de UDP Kerberos grande. Uma vez que o UDP é um protocolo sem ligação, os pacotes UDP fragmentados serão ignorados se que chegam ao destino fora de ordem.

Se alterar MaxPacketSize para um valor de 1, forçar o cliente a utilizar TCP para enviar Kerberos tráfego através do túnel VPN. Uma vez que TCP orientado, é um meio de transporte mais fiável através do túnel VPN. Mesmo que os pacotes sejam ignorados, o servidor irá re-request pacote de dados em falta.


Pode alterar MaxPacketSize para 1 para forçar os clientes a utilizar tráfego Kerberos sobre TCP. Para o fazer, siga estes passos:
  1. Inicie o Editor de registo.
  2. Localize e clique na seguinte subchave de registo:
    Kerberos\Parameters de HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\
    NotaSe oParâmetroschave não existir, crie-a.
  3. Sobre oEditarmenu, aponte paraNovoe, em seguida, clique emValor DWORD.
  4. TipoMaxPacketSize, e, em seguida, prima ENTER.
  5. Faça duplo clique emMaxPacketSize, tipo1naDados de valorClique para seleccionar aDecimalopção e, em seguida, clique em OK.
  6. Saia do Editor de registo.
  7. Reinicie o computador.

    Esta é a abordagem da solução para o Microsoft Windows 2000, XP e Server 2003. Windows Vista e utilização mais recente uma predefinição de "0" para MaxPacketSize que também desactiva a utilização de UDP para o cliente Kerberos.

Isto corrigiu o problema?

  • Verifique se o problema está resolvido. Se o problema for resolvido, acabar com esta secção. Se o problema não for resolvido, podecontactar o suporte.
  • Seria Agradecemos os seus comentários. Para enviar comentários ou para comunicar quaisquer problemas relacionados com esta solução, deixe um comentário sobre o "Corrija-o para mim"blogue ou envie-numamensagem de correio electrónico.
O modelo seguinte é um modelo administrativo que pode ser importado para a política de grupo para permitir que o valor de MaxPacketSize ser definido para todos os computadores da empresa que estão a executar o Windows Server 2003, Windows XP ou Windows 2000. Para visualizar as definições de MaxPacketSize do Editor de objecto de política de grupo, clique emMostrar apenas políticassobre oVistamenu para queMostrar apenas políticasnão está seleccionada. Este modelo modifica as chaves de registo fora da secção de políticas. Por predefinição, o Editor de objecto de política de grupo não apresenta estas definições de registo.Para obter informações adicionais, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
320903Os clientes não podem iniciar sessão utilizando Kerberos sobre TCP

Propriedades

Artigo: 244474 - Última revisão: 14 de dezembro de 2010 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Palavras-chave: 
kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 244474

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com