Authentifizierung schlägt fehl, wenn ein externer Client zu einem Windows Server 2008-Server melden Sie sich mit einen schreibgeschützten Domänencontroller in einem Umkreisnetzwerk

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 977510 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Ein externer Client versucht, auf einem Server anmelden, auf dem Windows Server 2008 in einem Umkreisnetzwerk (auch bezeichnet als DMZ, demilitarisierte Zone und überwachten Subnetz) ausgeführt wird. Wenn der Server versucht, den externen Client mithilfe eines Nur-Lese-Domänencontrollers (RODC) im Umkreisnetzwerk zu authentifizieren, schlägt die Authentifizierung fehl.

Hinweis: Wenn der Server zum Authentifizieren des externen Clients mithilfe eines internen Domänencontrollers (DC) zulässig ist, ist die Authentifizierung erfolgreich.

Ursache

Dieses Problem tritt auf, wenn der externe Client nicht welchem Standort weiß, es zum ersten Mal im Perimeternetzwerk eintritt. In diesem Fall macht der externe Client eine generische Domain Name System (DNS)-Abfrage für den _msdcs.domain.com SRV-Ressourceneintrag für einen Domänencontroller, mit denen der Client eine Verbindung herstellen kann. Standardmäßig registrieren RODCs keine generische DNS-Informationen. Stattdessen registriert RODCs nur standortspezifischen DNS-Informationen. Aus diesem Grund gibt die DsGetDCName-Funktion einen RODC nie in die Liste der Domänencontroller für die Domäne zurück.

Hinweis: Wenn keine Ergebnisse aus der DNS-Abfrage generiert werden, die DCLocator-Funktion, die von der Funktion DSGetDCName aufgerufen wird greift zurück auf NetBIOS-name Resolution Functionality (WINS und Broadcasts). Schlägt jedoch fehl, wenn WINS-Dienst ist nicht konfiguriert ist und Broadcasts gesperrt sind, dann dieses Fallbackmechanismus auch.

Wenn die Firewallregeln die externen Clients mit mindestens einem Domänencontroller mit Lese-/Schreibzugriff (RWDC) verbinden lassen, wird die externen Clients auf den RODC umgeleitet. Dieses Verhalten tritt auf, sobald der RWDC bestimmt, dass die externen Clients auf dem RODC-Website ist.

Hinweis:In diesem Fall sollte sich beide Computer im Umkreisnetzwerk.

Lösung

Um dieses Problem zu beheben, müssen Sie den RODC aus einer generischen DNS-Abfrage auffindbar machen.

Hinweis: Sie können den Effekt Sicherheit der Registrierung die generischen DNS-Einträge durch Ändern des LDAPSrvPriority-Wertes, der der RODC in der Wiederherstellung der Website, um sicherzustellen, dass andere verfügbaren schreibgeschützten Domänencontrollern oder Domänencontrollern mit Lese-/Schreibzugriff bevorzugt werden minimieren. Weitere Informationen finden Sie die folgende KB-Artikelnummer:
306602Gewusst wie: optimieren die Position eines Domänencontrollers oder globalen Katalog, der sich außerhalb der Site des Clients befindet
Auf den RODC auffindbar machen, geben Sie den RegisterSiteSpecificDnsRecordsOnly DWORD-Wert in der Registrierung. Dieser DWORD-Wert bestimmt, ob der RODC generischen DNS-Datensätze registrieren möchte.
Tabelle minimierenTabelle vergrößern
Speicherort in der Registrierung:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Wertname:RegisterSiteSpecificDnsRecordsOnly
Werttyp:DWORD

RegisterSiteSpecificDnsRecordsOnly

Dieser DWORD-Wert gibt an, dass registrieren standortspezifische und nur Datensätze Alias (CName). Der Standardwert für einen RODC ist 1 (WAHR). Wenn Sie diesen Wert auf 0 (falsch) festlegen, versucht der RODC alle DNS-Datensätze registrieren. Dazu gehören auch bestimmte Einträge non-Site.

Hinweis: Wenn dieser DWORD-Wert auf 0 festgelegt ist, müssen Sie die erforderliche Schreibberechtigung für die entsprechenden DNS-Zonen in der Lage sein, um alle DNS-Datensätze registrieren dem RODC gewähren.

Weitere Informationen

Weitere Informationen zum Ermitteln der RODC Speicherorte im Umkreisnetzwerk finden Sie auf die folgende Microsoft TechNet-Blog-Website:
http://blogs.technet.com/instan/archive/2009/03/24/troubleshooting-rodc-s-troubleshooting-rodc-location-in-the-dmz.aspx

Eigenschaften

Artikel-ID: 977510 - Geändert am: Dienstag, 24. November 2009 - Version: 1.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008 R2
  • Windows Web Server 2008
Keywords: 
kbmt kbtshoot kbexpertiseinter kbsurveynew kbprb KB977510 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 977510
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com