您在遇到延迟用户身份验证过程中 Windows 2000 或 Windows Server 2003 的域成员上运行大容量服务器程序时

文章翻译 文章翻译
文章编号: 906736 - 查看本文应用于的产品
重要本文包含有关如何修改注册表的信息。请确保您对其进行修改之前备份注册表。请确保您知道如何还原注册表发生问题。有关如何备份、 还原,以及修改注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986在 Microsoft Windows 注册表的说明
展开全部 | 关闭全部

本文内容

症状

您使用 Kerberos 进行身份验证的用户的域成员上运行的高容量服务器程序时, 您会遇到用户身份验证过程的延迟。此外,您注意到远程过程调用 (RPC) 通信,使用网络登录 RPC 接口的域控制器和服务器之间的增加。

当启用了网络登录服务在域成员上或在域控制器上的调试日志记录会记录下面的项将在该 Netlogon.log:

[登录]SamLogon: 通用 logon <domain name> \(null) 从 (null) 的包: Kerberos 输入

原因

出现此问题的原因是 Kerberos 客户端验证使用的域控制器的 Kerberos 票证中的特权属性证书 (PAC) 签名。Kerberos 客户端执行此验证以防止 PAC 欺骗。增加的网络通信由 RPC 生成此验证过程的一部分的请求。

客户端执行此验证仅对在 Kerberos 不受信任的调用方。用户模式应用程序被识别为不受信任的调用方。

解决方案

服务包信息

若要解决此问题、 获取最新的服务包,Windows Server 2003 的和应用的注册表更改如下所述禁用 PAC 验证。有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
889100如何获取最新的 service pack,Windows Server 2003 的
获取 Windows Server 2003 的最新的 service pack 后,关闭 PAC 验证的服务。

警告如果您修改注册表错误地使用注册表编辑器或使用另一种方法,则可能会出现严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证可以解决这些问题。修改注册表的风险由您自己承担。

在 Windows Server 2003 SP2,您可以关闭 PAC 验证的服务。若要执行此操作将 ValidateKdcPacSignature 注册表项添加到以下注册表子项中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
添加 ValidateKdcPacSignature 条目的类型均为 DWORD 在应用程序服务中的用户身份验证在服务器上的项目。这些服务器可能包括域控制器。当此项的值为 0 时,Kerberos 并不执行作为服务运行的进程的 PAC 验证。 当此项的值为 1 时,Kerberos 将照常执行 PAC 验证。 您必须修改此注册表项后,重新启动计算机。当不存在此条目系统的行为如同该条目不存在,并且具有值为 1。此项的 Windows Server 2008 中默认值为 0。

有关如何启用调试日志记录的 Net Logon 服务的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
109626启用调试日志记录的 Net Logon 服务

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。 在 Microsoft Windows Server 2003 Service Pack 2 中,第一次已得到纠正此问题。

属性

文章编号: 906736 - 最后修改: 2009年1月12日 - 修订: 9.1
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbmt kbqfe kbwinserv2003sp2fix kbtshoot kbbug KB906736 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 906736
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com