Принудительный Kerberos использует протокол TCP вместо UDP в Windows

Код статьи: 244474 - Список продуктов, к которым относится данная статья.
Переведено с помощью машинного переводаПРЕДУПРЕЖДЕНИЕ: СТАТЬЯ ПЕРЕВЕДЕНА С ПОМОЩЬЮ МАШИННОГО ПЕРЕВОДА
Развернуть все | Свернуть все

Аннотация

Пакет проверки подлинности Kerberos в Windows по умолчанию пакет проверки подлинности в Windows Server 2003, в Windows Server 2008 и Windows Vista. Он сосуществует с подтверждением NTLM протокол и используется в случаях, когда клиент и сервер могут согласование Kerberos. Запрос комментариев (RFC) 1510 том, что клиент следует отправить датаграмму User Datagram Protocol (UDP) на порт 88 по IP адрес для распространения ключей центра (KDC) обращающийся KDC. KDC должны отвечать используя в качестве отправителя порт по IP-адрес отправителя. Документ RFC сообщает, что UDP должны быть первым протоколом производится попытка.

Свернуть эту таблицуРазвернуть эту таблицу
ПримечаниеRFC 4120 теперь старые RFC 1510. RFC 4120 указывает, что KDC должен принимать TCP-запросов и должен контролировать такие запросы на порт 88 (дес.). По умолчанию Windows Server 2008 и Windows Vista будет сначала TCP для Kerberos поскольку теперь по умолчанию MaxPacketSize 0. По-прежнему можно использовать параметр реестра MaxPacketSize переопределить это поведение.

Ограничение на размер пакета UDP может привести к следующее сообщение об ошибке при входе в домен:
Ошибки в журнале событий 5719
Источник входа в сеть

Домен Windows 2000 или Windows NT не Доступен контроллер домена Домен. В Произошла следующая ошибка:

В настоящее время отсутствуют серверы входа в систему Доступные обработать запрос на вход в систему.
Кроме того Netdiag средство отображает следующие сообщения об ошибках:
Сообщение об ошибке 1
Проверка списка контроллеров Домена........ . . . : Ошибка [внимание] не удается вызвать функцию DsBind на COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Сообщение об ошибке 2
Тест Kerberos........ . . . : Kerberos ошибка [Ошибка] не имеет билет для MEMBERSERVER$.]
Журналы событий Windows XP, которые являются признаками этой проблемы являются SPNegotiate 40960 и Kerberos 10.

Дополнительная информация

Нам устранить проблему автоматически, перейдите к»Получить помощь"раздел. Если вы предпочитаете решить проблему самостоятельно, перейдите к»Решить самостоятельно"раздел.

Получить помощь

Чтобы устранить проблему автоматически, нажмите кнопку Помощь кнопка или ссылка. Нажмите кнопку Запустить В диалоговом окне Загрузка файла диалоговое окно поле и выполните действия, описанные в исправление мастера.


Решить проблему
Microsoft Fix it 50563


Заметки
  • Этот мастер может быть только на английском языке. Однако автоматическое исправление также работает в других языковых версиях Windows.
  • Если на компьютере не используются, сохранить исправление его решение флэш-накопитель или компакт-ДИСК и запустите его на компьютере, на котором возникла проблема.

Перейдите к»Устранена ли неполадка?"раздел.



Решить самостоятельно

Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756
(http://support.microsoft.com/kb/322756/ )
Резервное копирование и восстановление реестра Windows


Важные Если Kerberos использует протокол UDP, клиентский компьютер может перестать отвечать на запросы (зависает) при получении следующего сообщения:
Загрузка личных параметров.
По умолчанию Максимальный размер пакета, для которых Windows Server 2003 использует UDP 1 465 байт. Windows XP и Windows 2000 это максимальное число равно 2 000 байт. Transmission Control Protocol (TCP) используется для любого datagrampacket, т.е. больше, чем этот максимальный. Максимальный размер пакета, для которых используется UDP использовать можно изменить путем изменения раздела реестра и значение.

По по умолчанию, Kerberos использует пакеты UDP без установления соединения. В зависимости от различных факторов, включая истории кодов безопасности (SID) и группы членство, некоторые учетные записи будут иметь больший пакет проверки подлинности Kerberos размеры. В зависимости от конфигурации оборудования виртуальной частной сети (VPN) такие пакеты большого размера должны быть фрагментации при прохождении через VPN. В проблема вызвана фрагментации этих больших пакетов UDP Kerberos. Так как UDP — это протокол без установления соединения, фрагментированные пакеты UDP будут удалены, если они приходят к получателю не по порядку.

При изменении MaxPacketSize значение 1, вынуждает клиента на использование протокола TCP для отправки Kerberos трафик через туннель VPN. Так как TCP требует установления подключения, более надежным способом передачи через туннель VPN. Даже если пакеты удален, сервер пошлет недостающих пакетов.


Вы MaxPacketSize значение 1, чтобы клиенты используют трафик Kerberos через TCP. Чтобы сделать это, выполните следующие действия.
  1. Запустите редактор реестра.
  2. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    Примечание Если Параметры ключ не существует, создайте его Теперь.
  3. На Редактирование Выберите пунктНовый, а затем нажмите кнопку Значение типа DWORD.
  4. Тип MaxPacketSize, а затем нажмите клавишу ВВОД.
  5. Дважды щелкните значок MaxPacketSize, тип1В диалоговом окне Значение данных Выберите для выбора Десятичный параметр и нажмите кнопку ОК.
  6. Закройте редактор реестра.
  7. Перезагрузите компьютер.

    Этот подход решений для Microsoft Windows 2000, XP и Server 2003. Windows Vista и более новых использование по умолчанию «0» для MaxPacketSize, который также отключает использование UDP для клиента Kerberos.

Устранена ли неполадка?

  • Проверьте, устранена ли проблема. Если проблема устранена, приведенные в этом разделе. Если проблема не устранена, можно ОБРАЩЕНИЕ В СЛУЖБУ ПОДДЕРЖКИ
    (http://support.microsoft.com/contactus)
    .
  • Мы ценим ваши отзывы. Чтобы оставить отзыв или сообщить о проблемах с указанным решением, пожалуйста, оставьте комментарий на "Получить помощь
    (http://blogs.technet.com/fixit4me/)
    «Блог или отправьте сообщение Электронная почта
    (mailto:fixit4me@microsoft.com?Subject=KB)
    .
Следующий шаблон является административным шаблоном, который может быть импортировать в групповую политику, чтобы параметр MaxPacketSize значение для всех корпоративных компьютеров, работающих под управлением Windows Server 2003, Windows XP или Windows 2000. Для просмотра настроек MaxPacketSize в редакторе объектов групповой политики Нажмите кнопку Показывать только политики В меню Представление меню так, чтобы , Показывать только политики не выбран. Данный шаблон изменяет разделы реестра за пределами раздел «политики». По умолчанию Редактор объектов групповой политики не отображает параметры реестра. Для получения дополнительных сведений нажмите следующие кнопки номер статьи базы знаний Майкрософт:
320903
(http://support.microsoft.com/kb/320903/ )
Клиенты не могут войти в систему с помощью Kerberos через TCP

Свойства

Код статьи: 244474 - Последнее изменение :: 4 июня 2011 г. - Редакция: 3.0
Информация в данной статье относится к следующим продуктам.
Ключевые слова: 
kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:244474
(http://support.microsoft.com/kb/244474/en-us/ )
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы