Autenticação falha quando um cliente externo tenta iniciar sessão num servidor Windows Server 2008 se utilizar um controlador de domínio só de leitura numa rede de perímetro

Traduções de Artigos Traduções de Artigos
Artigo: 977510 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Um cliente externo tenta iniciar sessão num servidor com o Windows Server 2008 numa rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada). Quando o servidor tenta autenticar o cliente externo se utilizar um controlador de domínio só de leitura (RODC) na rede de perímetro, a autenticação falha.

Nota Se for permitido no servidor para autenticar o cliente externo utilizando um controlador de domínio interno (DC), a autenticação é efectuada com êxito.

Causa

Este problema ocorre quando o cliente externo não sabe qual site entra pela primeira vez na rede de perímetro. Quando isto ocorre, o cliente externo efectua uma consulta de sistema de nomes de domínio (DNS) genérico para o registo de recurso SRV _msdcs.domain.com para um controlador de domínio ao qual o cliente pode ligar. Por predefinição, RODCs não registar quaisquer informações de DNS genéricas. Em vez disso, RODCs apenas registar informações de DNS específicos de local. Por conseguinte, a função DsGetDCName nunca devolve um RODC na lista de DC para o domínio.

Nota Se nenhum resultado é gerado a partir da consulta de DNS, a função DCLocator que é chamada pela função DSGetDCName reverte para NetBIOS Nome funcionalidade de resolução (WINS e difusão). No entanto, se o WINS não está configurado e difusões são bloqueadas, em seguida, este mecanismo reversão também falhará.

Se as regras de firewall permitem externo cliente ligar ao controlador de domínio, pelo menos, uma leitura/escrita (RWDC), o cliente externo é redireccionado para o RODC. Este comportamento ocorre logo a RWDC determina que o cliente externo está site o RODC.

NotaQuando isto ocorre deverão ser ambos os computadores na rede de perímetro.

Resolução

Para resolver este problema, é necessário tornar o RODC identificáveis de uma consulta DNS genérica.

Nota Pode minimizar o efeito de segurança de registar os registos de DNS genéricos alterando o valor LDAPSrvPriority o RODC no site de reparação para se certificar de que outros controladores de domínio disponível só de leitura ou controladores de domínio de leitura/escrita estão preferenciais. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
306602Como optimizar a localização de um controlador de domínio ou catálogo global que resida fora do site do cliente
Para tornar o RODC identificável, especifique o valor de DWORD RegisterSiteSpecificDnsRecordsOnly no registo. Este valor DWORD determina se o RODC tenta registar registos de DNS genéricos.
Reduzir esta tabelaExpandir esta tabela
Localização do registo:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nome do valor:RegisterSiteSpecificDnsRecordsOnly
Tipo de valor:DWORD

RegisterSiteSpecificDnsRecordsOnly

Este valor DWORD Especifica a registo local específico e apenas os registos de alias (CName). O valor predefinido de um RODC é 1 (verdadeiro). Se definir este valor como 0 (FALSE), o RODC tenta registar todos os registos DNS. Isto inclui registos específicos que não sejam do site.

Nota Se definir este valor DWORD para 0, tem de conceder o RODC a permissão de escrita necessária as zonas DNS relevantes para conseguir registar todos os registos de DNS.

Mais Informação

Para mais informações sobre como determinar RODC localizações na rede de perímetro, visite o seguinte site da Microsoft TechNet blogue:
http://blogs.technet.com/instan/archive/2009/03/24/troubleshooting-rodc-s-troubleshooting-rodc-location-in-the-dmz.aspx

Propriedades

Artigo: 977510 - Última revisão: 24 de novembro de 2009 - Revisão: 1.1
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008 R2
  • Windows Web Server 2008
Palavras-chave: 
kbmt kbtshoot kbexpertiseinter kbsurveynew kbprb KB977510 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 977510

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com