วิธีการบังคับให้ Kerberos เพื่อใช้ TCP แทน UDP ใน Windows

หมายเลขบทความ (Article ID): 244474 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
แปลโดยคอมพิวเตอร์คลิกที่นี่เพื่อดูข้อจำกัดความรับผิดชอบของ KB ที่แปลโดยคอมพิวเตอร์
ขยายทั้งหมด | ยุบทั้งหมด

สรุป

แพคเกจการรับรองความถูกต้อง Windows Kerberos เป็นแพคเกจรับรองความถูกต้องการเริ่มต้น ใน Windows Server 2003 ใน Windows Server 2008 และ Windows Vista มัน coexists กับโพรโทคอลในการรองรับ/การตอบสนอง NTLM และนำมาใช้ในกรณีที่ไคลเอนต์และเซิร์ฟเวอร์สามารถเจรจา Kerberos การร้องขอสำหรับข้อคิดเห็น (RFC) 1510 สถานะว่า ไคลเอนต์ที่ควรส่งเดตาแกรมของโพรโทคอลเดตาแกรมผู้ใช้ (UDP) พอร์ต 88 ที่ IP อยู่ของคีย์การแจกจ่าย Center (KDC) เมื่อไคลเอนต์ KDC ในที่ติดต่อ KDC ควรตอบสนอง ด้วยเดตาแกรมในการตอบกลับไปยังพอร์ตส่งที่ที่อยู่ IP ของผู้ส่ง RFC ยังระบุว่า UDP ต้องเป็นโพรโทคอลแรกที่จะพยายาม

ยุบตารางนี้ขยายตารางนี้
หมายเหตุ:rfc 4120 obsoletes RFC 1510 เดี๋ยวนี้ rfc 4120 ระบุ KDC มีต้องยอมรับการร้องขอ TCP และควรรับเช่นร้องพอร์ต 88 (ฐานสิบ) โดยค่าเริ่มต้น Windows Server 2008 และ Windows Vista จะลอง TCP เป็นอันดับแรกสำหรับ Kerberos เนื่องจากเป็นค่าเริ่มต้น MaxPacketSize เดี๋ยวนี้ 0 คุณยังสามารถใช้ค่ารีจิสทรี MaxPacketSize เพื่อแทนที่ลักษณะการทำงาน

มีข้อจำกัดในขนาดของแพคเก็ต UDP อาจทำให้เกิดข้อผิดพลาดต่อไปนี้เมื่อเข้าสู่ระบบโดเมน:
ข้อผิดพลาดในแฟ้มบันทึกเหตุการณ์ 5719
แหล่ง NETLOGON

ไม่มี Windows NT หรือตัวควบคุมโดเมน 2000 ของ Windows จะพร้อมใช้งานสำหรับโดเมนโดเมน. เกิดข้อผิดพลาดต่อไปนี้:

มีอยู่ในขณะนี้เซิร์ฟเวอร์เข้าสู่ระบบไม่พร้อมให้บริการการร้องขอการเข้าสู่ระบบ
นอกจากนี้ Netdiag เครื่องมืออาจแสดงข้อผิดพลาดต่อไปนี้:
ข้อความแสดงข้อผิดพลาด 1:
DC list test . . . . : ล้มเหลว [คำเตือน] ไม่สามารถเรียก DsBind เพื่อ COMPUTERNAMEDC.domain.com (159.140.176.32) ได้ [error_domain_controller_not_found]
เกิดข้อผิดพลาด 2
ทดสอบ Kerberos ออกใช้....... . . . : Kerberos [FATAL ล้มเหลวไม่มีบัตรที่สำหรับ MEMBERSERVER $]
แฟ้มบันทึกเหตุการณ์ของ Windows XP ซึ่งเป็นอาการของปัญหานี้มี SPNegotiate 40960 และ Kerberos 10

ข้อมูลเพิ่มเติม

เมื่อต้องการได้ เราในการแก้ไขปัญหาให้คุณไป "แก้ไขปัญหาให้กับฉัน"ส่วน ถ้าคุณต้องการแก้ไขปัญหานี้ได้ด้วยตัวคุณเอง ไป "ให้ฉันแก้ไขด้วยตนเอง"ส่วน

แก้ไขปัญหาให้กับฉัน

เมื่อต้องแก้ไขปัญหานี้โดยอัตโนมัติ คลิกการแก้ไขได้ปุ่มหรือการเชื่อมโยง คลิกเรียกใช้ในการดาวน์โหลดแฟ้มกล่องโต้ตอบกล่อง และทำตามขั้นตอนในการแก้ไขปัญหาดังกล่าว wizard


แก้ไขปัญหานี้
Microsoft Fix it 50563


หมายเหตุ
  • ตัวช่วยสร้างนี้อาจมีเฉพาะภาษาอังกฤษ แต่การแก้ไขปัญหาแบบอัตโนมัติจะทำงานใน Windows รุ่นที่ใช้ภาษาอื่นเช่นกัน
  • ถ้าคุณไม่ได้ใช้คอมพิวเตอร์ที่มีปัญหา บันทึกการแก้ไขปัญหาจะแก้ไขแฟลชไดรฟ์หรือซีดีแล้ว รันบนคอมพิวเตอร์ที่มีปัญหา

แล้ว ไป "สามารถแก้ไขปัญหาได้หรือไม่"ส่วน



ให้ฉันแก้ไขด้วยตนเอง

สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756
(http://support.microsoft.com/kb/322756/ )
วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows


สิ่งสำคัญถ้าคุณใช้ UDP Kerberos ไคลเอ็นต์คอมพิวเตอร์ของคุณอาจหยุดการตอบสนอง (แฮงค์) เมื่อคุณได้รับข้อความแสดงข้อความต่อไปนี้:
กำลังโหลดการตั้งค่าส่วนบุคคลของคุณ
โดยค่าเริ่มต้น ขนาดสูงสุดของแพ็คเก็ตของเดตาแกรมที่ Windows Server 2003 ใช้ UDP เป็นไบต์ 1,465 สำหรับ Windows XP และ Windows 2000 นี้มากที่สุดเป็นไบต์ 2,000 มีใช้โพรโทคอลการควบคุมการรับส่ง (TCP) สำหรับ datagrampacket ใด ๆ ที่มีขนาดใหญ่กว่านี้สูงสุด ขนาดสูงสุดของแพ็คเก็ตเดตาแกรมที่ซึ่งใช้ UDP สามารถเปลี่ยนได้ โดยการปรับเปลี่ยนรีจิสทรีคีย์และค่า

โดยค่าเริ่มต้น Kerberos ใช้แพคเก็ตเดตาแกรม UDP connectionless ทั้งนี้ขึ้นอยู่กับหลากหลายปัจจัยรวมถึงการรักษาความปลอดภัย (SID) ของตัวระบุประวัติและกลุ่มสมาชิก บัญชีบางอย่างจะมีขนาดแพ็คเก็ตรับรองความถูกต้อง Kerberos ที่ใหญ่ขึ้น ขึ้นอยู่กับการกำหนดค่าฮาร์ดแวร์เครือข่ายส่วนตัวเสมือน (VPN) มีแพคเก็ตใหญ่เหล่านี้ให้มากเมื่อผ่าน VPN ปัญหาเกิดจากการกระจายตัวของแพคเก็ต UDP Kerberos ที่มีขนาดใหญ่เหล่านี้ เนื่องจาก UDP โพรโทคอ connectionless ส่งข้อมูลทาง UDP ที่อยู่อย่างกระจัดกระจายจะถูกส่งน้อยลงถ้าสินค้ามาถึงที่ปลายทางเกิดเสีย

ถ้าคุณเปลี่ยน MaxPacketSize ค่าเป็น 1 คุณบังคับให้ไคลเอนต์ใช้ TCP จะส่ง Kerberos การรับส่งข้อมูลผ่านทางทันเนลแบบ VPN เนื่องจาก TCP จะเป็นการเชื่อมต่อ จึงเป็นหมายความว่าเชื่อถือได้มากขึ้นของการขนส่งผ่านทันเนลของ VPN แม้ว่าแพ็คเก็ตกำลังตกหาย เซิร์ฟเวอร์จะ re-request แพคเก็ตข้อมูลที่ขาดหายไป


คุณสามารถเปลี่ยน MaxPacketSize 1 เพื่อบังคับใช้ไคลเอนต์เพื่อใช้ปริมาณการใช้ Kerberos ผ่าน TCP โดยให้ทำตามขั้นตอนต่อไปนี้::
  1. เริ่มโปรแกรม Registry Editor
  2. ค้นหาและคลิกที่คีย์ย่อยของรีจิสทรีต่อไปนี้::
    Kerberos\Parameters HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\
    หมายเหตุ:ถ้าการพารามิเตอร์คีย์ไม่มีอยู่ สร้างเดี๋ยวนี้
  3. ในการแก้ไขเมนู ให้ชี้ไปที่ใหม่แล้ว คลิกค่า DWORD.
  4. ประเภท:MaxPacketSizeแล้ว กด ENTER
  5. คลิกสองครั้งMaxPacketSizeประเภท:1ในการข้อมูลค่า:กล่อง คลิกเพื่อเลือกนั้นฐานสิบตัวเลือก และจากนั้น คลิกตกลง
  6. ออกจากโปรแกรม Registry Editor
  7. รีสตาร์ทเครื่องคอมพิวเตอร์

    นี่คือวิธีการแก้ไขปัญหาสำหรับ Microsoft Windows 2000, XP และ Server 2003 windows Vista และใช้ค่าเริ่มต้น "0" รุ่นใหม่สำหรับ MaxPacketSize ซึ่งยัง จะปิดการใช้ UDP สำหรับไคลเอ็นต์ของ Kerberos

สามารถแก้ไขปัญหาได้หรือไม่

  • ตรวจสอบว่าปัญหาได้รับการแก้ไขแล้วหรือไม่ ถ้าปัญหาได้รับการแก้ไขแล้ว คุณสามารถสิ้นสุดส่วนนี้ได้ หากปัญหาไม่ได้รับการแก้ไข คุณสามารถติดต่อฝ่ายสนับสนุน
    (http://support.microsoft.com/contactus)
    .
  • เรายินดีรับข้อเสนอแนะของคุณ เมื่อต้อง การให้ผลตอบสนอง หรือ เพื่อรายงานปัญหาใด ๆ ด้วยการแก้ไขปัญหานี้ กรุณาทิ้งข้อคิดเห็น "แก้ไขปัญหาให้กับฉัน
    (http://blogs.technet.com/fixit4me/)
    "บล็อก หรือส่งเรามีอีเมล
    (mailto:fixit4me@microsoft.com?Subject=KB)
    .
แม่แบบต่อไปนี้มีต้นแบบการดูแลระบบซึ่งสามารถถูกนำเข้ามาในนโยบายกลุ่มเพื่อให้ค่า MaxPacketSize ถูกตั้งค่าสำหรับคอมพิวเตอร์องค์กรทั้งหมดที่กำลังเรียกใช้ Windows Server 2003, Windows XP หรือ Windows 2000 เมื่อต้องดูการตั้งค่า MaxPacketSize ตัวในแก้ไขวัตถุนโยบายกลุ่ม คลิกแสดงนโยบายเท่านั้นในการมุมมองเมนูนั้นแสดงนโยบายเท่านั้นไม่สามารถเลือก แม่แบบนี้ปรับเปลี่ยนรีจิสตรีคีย์นอกส่วนนโยบาย โดยค่าเริ่มต้น ตัวแก้ไขวัตถุนโยบายกลุ่มไม่แสดงการตั้งค่ารีจิสทรีเหล่านี้สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
320903
(http://support.microsoft.com/kb/320903/ )
ไคลเอ็นต์ไม่สามารถล็อกอิน โดยการใช้ Kerberos ผ่าน TCP

คุณสมบัติ

หมายเลขบทความ (Article ID): 244474 - รีวิวครั้งสุดท้าย: 8 มกราคม 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Keywords: 
kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:244474
(http://support.microsoft.com/kb/244474/en-us/ )
กลับไปด้านบน | ให้ข้อเสนอแนะ

ให้ข้อเสนอแนะ

 
กลับไปด้านบนกลับไปด้านบน