Настройка протоколу автентифікації Kerberos на використання протоколу TCP замість UDP у системі Windows

Переклади статей Переклади статей
Номер статті: 244474 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

ПІДСУМКИ

Пакет автентифікації Windows Kerberos – це пакет автентифікації за промовчанням у системах Windows Server 2003, Windows Server 2008 і Windows Vista. Він використовується разом із протоколом запиту-відповіді NTLM і у випадках, коли клієнт і сервер можуть узгоджувати Kerberos. У документі RFC 1510 визначено, що під час звернення до центру KDC клієнт має надіслати дейтаграму протоколу користувацьких дейтаграм (UDP) на порт 88 на IP-адресу центру розподілення ключів (KDC). KDC мусить надіслати дейтаграму-відповідь порту-відправнику на IP-адресу відправника. У документі RFC також зазначено, що спочатку слід використовувати протокол UDP.

Згорнути цю таблицюРозгорнути цю таблицю
Примітка.Документ RFC 4120 тепер замінює RFC 1510. У RFC 4120 указано, що KDC мусить приймати запити TCP й очікувати такі запити на порту 88 (у десятковій системі). За промовчанням системи Windows Server 2008 і Windows Vista розпочнуть із протоколу TCP для Kerberos, оскільки MaxPacketSize за промовчанням має значення 0. Щоб це змінити, можна використати значення реєстру MaxPacketSize.

Обмеження розміру пакета UDP може викликати таке повідомлення про помилку під час входу до домену:
Помилка журналу подій 5719
Джерело NETLOGON

Немає доступного контролера домену Windows NT або Windows 2000 для домену Домен. Виникла вказана нижче помилка.

Наразі немає доступних серверів реєстрації для оброблення запиту на підключення.
Окрім цього, можуть з’явитися такі повідомлення про помилку засобу Netdiag:
Повідомлення про помилку 1
DC list test. . . . . . . . . . . : Failed [WARNING] Cannot call DsBind to COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Повідомлення про помилку 2
Kerberos test. . . . . . . . . . . : Failed [FATAL] Kerberos does not have a ticket for MEMBERSERVER$.]
Записи журналу подій Windows XP, які свідчать про цю помилку, – SPNegotiate 40960 і Kerberos 10.

ДОДАТКОВІ ВІДОМОСТІ

Щоб автоматично вирішити цю проблему, перейдіть до розділу Виправити автоматично. Щоб вирішити цю проблему самостійно, перейдіть до розділу Виправити вручну.

Виправити автоматично

Щоб усунути цю проблему автоматично, натисніть кнопку Fix it або посилання під нею. Натисніть кнопку Виконати в діалоговому вікні Завантаження файлу та дотримуйтесь інструкцій майстра виправлення.


Вирішити цю проблему
Microsoft Fix it 50563


Примітки
  • Цей майстер може бути лише англійською мовою. Проте функцію автоматичного виправлення можна застосовувати також до інших мовних версій Windows.
  • Якщо ви працюєте не за тим комп’ютером, на якому виявлено неполадку, рішення Fix it можна зберегти на флеш-пам’ять або компакт-диск, а потім запустити на потрібному комп’ютері.

Після цього перейдіть до розділу Чи вирішено проблему?



Виправити вручну

Увага! Цей розділ, спосіб або завдання містить інструкції щодо внесення змін до реєстру. Неправильне внесення змін до реєстру може призвести до серйозних проблем. Тому будьте уважні, виконуючи ці кроки. Перш ніж вносити зміни, обов’язково створіть резервну копію реєстру. Якщо виникне проблема, його можна буде відновити до попереднього стану. Для отримання додаткових відомостей про створення резервної копії та відновлення реєстру клацніть цей номер статті, щоб переглянути її в базі знань Microsoft:
322756 Створення резервної копії та відновлення реєстру в ОС Windows


Увага! У разі використання протоколу UDP для Kerberos, клієнтський комп’ютер може періодично припиняти відповідати на запити (зависати) після відображення такого повідомлення:
Завантаження особистих параметрів.
За промовчанням максимальний розмір пакетів дейтаграм, для яких система Windows Server 2003 використовує протокол UDP, – 1465 байтів. Для систем Windows XP та Windows 2000 – це 2 000 байтів. Для пакетів дейтаграм, розмір яких перевищує максимальний, використовується протокол керування передаванням (TCP). Максимальний розмір пакетів дейтаграм, для яких використовується протокол UDP, можна змінити внесенням змін до розділу та значення реєстру.

За промовчанням пакет автентифікації Kerberos використовує пакети дейтаграм UDP без встановлення з’єднання. Деякі облікові записи матимуть більший розмір пакетів автентифікації Kerberos, залежно від багатьох факторів, зокрема журналу ідентифікатора безпеки (SID) і членства у групах. Залежно від конфігурації устаткування віртуальної приватної мережі (VPN), ці великі пакети мають пройти фрагментацію під час проходження через мережу VPN. Ця проблема виникала внаслідок фрагментації великих пакетів UDP Kerberos. Оскільки UDP – це протокол без установлення з’єднання, фрагментовані пакети UDP буде пропущено, якщо вони надійдуть до місця призначення в неправильному порядку.

Якщо змінити значення MaxPacketSize на 1, клієнт використовуватиме протокол TCP для надсилання трафіку Kerberos через тунель VPN. Оскільки для протоколу TCP потрібне з’єднання, це надійніший засіб транспортування через тунель VPN. Навіть якщо пакети буде пропущено, сервер надішле повторний запит на відсутній пакет даних.


Якщо змінити значення MaxPacketSize на 1, клієнти використовуватимуть трафік Kerberos через протокол TCP. Для цього виконайте такі дії:
  1. Запустіть редактор реєстру.
  2. Знайдіть і виберіть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    Примітка. Якщо розділ Parameters (параметри) не існує, створіть його.
  3. У меню Edit (редагування) наведіть вказівник на пункт New (створити), а потім виберіть пункт DWORD Value (значення "4 байти").
  4. Введіть MaxPacketSize і натисніть клавішу Enter.
  5. Двічі клацніть параметр MaxPacketSize, введіть 1 у поле Value data (значення), установіть перемикач Decimal (десяткова) і натисніть кнопку "ОК".
  6. Закрийте редактор реєстру.
  7. Перезавантажте комп’ютер.

    Це рішення для систем Microsoft Windows 2000, XP та Server 2003. Windows Vista та новіші системи використовують за промовчанням значення "0" для параметра MaxPacketSize, що також вимикає використання протоколу UDP для клієнта Kerberos.

Чи вирішено проблему?

Наведений нижче адміністративний шаблон можна імпортувати до групової політики, щоб установити значення параметра MaxPacketSize для всіх корпоративних комп’ютерів, які працюють під керуванням системи Windows Server 2003, Windows XP або Windows 2000. Щоб переглянути настройки MaxPacketSize у редакторі об’єктів групової політики, у меню View (вигляд) виберіть пункт Show Policies Only (відображати лише політики), щоб пункт Show Policies Only (відображати лише політики) не було виділено. Цей шаблон змінює розділи реєстру за межами розділу політик. За промовчанням редактор об’єктів групової політики не відображає ці настройки реєстру. Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
320903 Клієнти не можуть увійти за допомогою Kerberos через TCP
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use for other considerations.

Властивості

Номер статті: 244474 - Востаннє переглянуто: 27 вересня 2011 р. - Редакція: 1.0
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Ключові слова: 
kbenv kbinfo kbfixme kbmsifixme KB244474

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com