如何强制 Kerberos 使用 TCP,而不是在 Windows 中的 UDP

文章翻译 文章翻译
文章编号: 244474 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

Windows Kerberos 身份验证程序包是 Windows Server 2003 中、 Windows Server 2008 年 5 和在 Windows Vista 中时,默认身份验证程序包。 它使用 NTLM 质询/响应协议 coexists 和客户端和服务器都可以在协商 Kerberos 的实例中使用。 请求注释 (RFC) 1510年状态的客户端应将用户数据报协议 (UDP) 数据报发送到端口 88 的 IP 地址的该密钥分发中心 (KDC) 时客户端联系 KDC。 KDC 应作出答复数据报的发件人的 IP 地址在该发送端口。 在 RFC 还指出 UDP 必须是第一个被尝试的协议。

收起该表格展开该表格
请注意RFC 4120 现在废弃 RFC 1510。 RFC 4120 指定 KDC 必须接受 TCP 请求,并应侦听的端口 88 上此类请求 (十进制)。 默认状态下,Windows Server 2008 和 Windows Vista 将 TCP 首先尝试进行 Kerberos 现在 MaxPacketSize 默认值是 0。 您仍可以使用 MaxPacketSize 注册表值重写该行为。

UDP 数据包大小的限制可能会导致以下错误消息,在域登录:
事件日志错误 5719
源 NETLOGON

没有 Windows NT 或 Windows 2000 域控制器是可用的域. 出现以下错误:

目前没有可供登录请求提供服务的登录服务器。
此外,在 Netdiag 工具可能会显示以下错误消息:
错误消息 1
........DC 列表测试 . . . : 失败 [警告] 无法调用 DsBind 到 COMPUTERNAMEDC.domain.com (159.140.176.32)。 [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
错误消息 2
Kerberos 测试....... . . . : 失败 [致死] Kerberos 没有票证的 MEMBERSERVER $]
在 Windows XP 事件日志,这是此问题的症状是 SPNegotiate 40960 和 Kerberos 10。

更多信息

要让我们为您解决问题,请转到该"为我对其进行修复"一节。 如果您希望自己解决这个问题,请转到该"我要自己解决"一节。

为我对其进行修复

若要自动修复此问题,请单击该对其进行修复按钮或链接。 单击运行在该文件下载对话框框,和修补程序按照该向导。


解决此问题
Microsoft Fix it 50563


备注
  • 此向导可能只是英文。 但是,自动修复还会对其他语言版本的 Windows。
  • 如果您没有使用有问题的计算机,将保存在修复它到闪存驱动器或 CD 的解决方案,然后在出现问题的计算机上运行它。

然后,请转到该"这是否解决了问题吗?"一节。



我要自己解决

重要此节、 方法,或任务包含告诉您如何修改注册表的步骤。 但是,如果注册表修改不当可能会出现严重问题。 因此,请确保您认真执行这些步骤。 附加的保护备份注册表之前对其进行修改。 然后,您可以在出现问题时还原注册表。 有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表


重要如果您使用的 UDP 的 Kerberos,客户端计算机可能停止响应 (挂起),当您收到以下消息:
正在加载个人设置。
默认状态下,用于 Windows Server 2003 将使用 UDP 数据报数据包的最大大小为 1,465 字节。 对于 Windows XP 和 Windows 2000,此最大值将为 2000 字节。 任何超过此最大 datagrampacket 为使用传输控制协议 (TCP)。 可以通过修改注册表项和值更改时使用的 UDP 数据报数据包的最大大小。

默认,Kerberos 使用无连接的 UDP 数据报数据包。 根据因素,包括安全标识符 (SID) 历史记录和组成员身份在各种某些帐户将具有较大的 Kerberos 身份验证数据包大小。 根据虚拟专用网络 (VPN) 的硬件配置这些较大的数据包需要分段时通过 VPN。 问题是由这些大型 UDP Kerberos 数据包的碎片引起的。 因为 UDP 是无连接协议,将被丢弃零碎的 UDP 数据包,如果它们到达目标的顺序。

如果您更改 MaxPacketSize 值为 1,您强制客户端使用 TCP 发送 Kerberos 通信通过 VPN 隧道。 TCP 是运输的面向连接,因为它通过 VPN 隧道是运输的一个更可靠方式。 即使在数据包被丢弃,服务器将 re-request 丢失的数据包。


您可以更改 MaxPacketSize 1 以强制使用 Kerberos 通信通过 TCP 客户端。 若要执行此操作,请按照下列步骤:
  1. 启动注册表编辑器。
  2. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    请注意如果在参数键不存在,现在创建它。
  3. 上将编辑指向菜单然后单击双字节值.
  4. 类型MaxPacketSize然后按 ENTER 键。
  5. 双击MaxPacketSize类型1在该值数据框中,单击以选中在十进制和选项,然后单击确定。
  6. 退出注册表编辑器。
  7. 重新启动计算机。

    这是 Microsoft Windows 2000 和 XP Server 2003 的解决方案方法。 Windows Vista,这也将关闭 Kerberos 客户端使用的 UDP MaxPacketSize 的更新使用默认值为"0"。

这是否解决了问题吗?

  • 请检查是否在解决问题。 在解决问题如果您已完成这一节。 如果不解决该问题,并可以与支持部门联系.
  • 我们会非常感谢您的反馈。 若要提供反馈或报告此解决方案的任何问题请上发表评论,"为我对其进行修复"网络日志或发送给我们一个电子邮件.
可以导入到组策略以使 MaxPacketSize 值设置为所有正在运行 Windows Server 2003、 Windows XP 或 Windows 2000 的企业计算机的管理模板下面的模板。 若要查看 MaxPacketSize 设置组策略对象编辑器中,单击只显示策略上将视图菜单,以便只显示策略未被选中。 此模板修改策略部分之外的注册表项。 默认状态下,组策略对象编辑器不会显示这些注册表设置。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320903通过使用 Kerberos 通过 TCP 客户端无法登录

属性

文章编号: 244474 - 最后修改: 2010年12月14日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
关键字:?
kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 244474
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com