Detecta um atraso no processo de autenticação de utilizador quando executa um programa de servidor de elevado volume num membro do domínio no Windows 2000 ou Windows Server 2003

Quando executa um programa de servidor de elevado volume num membro de domínio utiliza Kerberos para autenticar utilizadores, detecta um atraso no processo de autenticação de utilizador. Além disso, repare um aumento no tráfego de chamada (RPC, Remote Procedure Call) de procedimento remoto entre o controlador de domínio utiliza a interface de RPC de início de sessão de rede e o servidor.

Quando activa o registo de depuração para o serviço Início de sessão de rede no membro de domínio ou no controlador de domínio, a entrada seguinte é registada no in a Netlogon.log:

[INÍCIO DE SESSÃO] SamLogon: Início de sessão genérico de <domain name> \(null) do pacote (nulo): Kerberos Entered

Este problema ocorre porque o cliente Kerberos verifica a assinatura de certificado de atributo de privilégios (PAC) na permissão Kerberos utilizando o controlador de domínio. O cliente Kerberos executa esta verificação para impedir a fraude de PAC. O tráfego de rede maior é gerado pelo RPC pedidos que fazem parte deste processo de verificação.

Os Kerberos cliente executa esta verificação apenas para não fidedigno aos autores das chamadas. Modo de utilizador aplicações são reconhecidas como autores de chamadas não fidedignos.

Informações sobre Service Packs

Para resolver este problema, obtenha o service pack mais recente do Windows Server 2003 e aplicar a alteração do registo detalhada abaixo para desactivar PAC validação. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Depois de obter o service pack mais recente do Windows Server 2003, desactivar PAC verificação para serviços.

aviso Podem ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. Microsoft não garante que estes problemas podem ser resolvidos. Modificar o registo por sua conta e risco.

No Windows Server 2003 SP2, pode desactivar PAC verificação para serviços. Para efectuar este procedimento, adicione a entrada de registo ValidateKdcPacSignature à seguinte subchave do registo: Adicione a entrada ValidateKdcPacSignature como uma entrada de tipo DWORD em servidores que são autenticar os utilizadores de serviços de aplicação. Estes servidores podem incluir controladores de domínio. Quando o valor desta entrada for 0, o Kerberos não executa validação PAC num processo é executado como um serviço. Quando o valor desta entrada é 1, o Kerberos efectua validação PAC como habitualmente. Terá de reiniciar o computador depois de modificar esta entrada de registo. Quando esta entrada não está presente, o sistema funciona como se o movimento estivesse presente e tiver um valor de 1. O valor predefinido no Windows Server 2008 para esta entrada é 0.

Para obter mais informações sobre como activar o registo de depuração para o serviço de início de sessão de rede, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a". Este problema foi corrigido pela primeira vez no Microsoft Windows Server 2003 Service Pack 2.