Falha de autenticação quando um cliente externo tenta fazer logon em um servidor Windows Server 2008 usando um controlador de domínio somente leitura em uma rede de perímetro

Traduções deste artigo Traduções deste artigo
ID do artigo: 977510 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Um cliente externo tenta fazer logon em um servidor que está executando o Windows Server 2008 em uma rede de perímetro (também conhecido como DMZ, zona desmilitarizada e sub-rede filtrada). Quando o servidor tenta autenticar o cliente externo usando um controlador de domínio somente leitura (RODC) na rede de perímetro, a autenticação falhar.

Observação: Se o servidor for permitido para autenticar o cliente externo usando um controlador de domínio interno (DC), a autenticação é bem-sucedida.

Causa

Esse problema ocorre quando o cliente externo não sabe qual site pela primeira vez que ele entre na rede de perímetro. Quando isso ocorre, o cliente externo realiza uma consulta de DNS (Domain Name System) genérico para o registro de recurso SRV _msdcs.domain.com para um controlador de domínio ao qual o cliente pode se conectar. Por padrão, os RODCs não registrar quaisquer informações de DNS genéricas. Em vez disso, os RODCs registram apenas informações específicas do DNS. Portanto, a função DsGetDCName nunca retorna um RODC na lista de controladores de domínio para o domínio.

Observação: Se não há resultados gerados a partir de consulta DNS, a função DCLocator que chamadas pela função DSGetDCName volta ao NetBIOS Nome funcionalidade de resolução (difusões e WINS). No entanto, se WINS não estiver configurado e difusões são bloqueadas, em seguida, esse mecanismo de fallback também apresenta falhas.

Se as regras de firewall que o cliente externo se conectar ao controlador de domínio de leitura/gravação pelo menos um (RWDC), o cliente externo será redirecionado para o RODC. Esse comportamento ocorre assim que o RWDC determina que o cliente externo está no site do RODC.

Observação:Quando isso ocorre ambos os computadores devem ter na rede de perímetro.

Resolução

Para resolver esse problema, você deve fazer o RODC detectável de uma consulta DNS genérica.

Observação: Você pode minimizar o efeito de segurança de registrar os registros DNS genéricos, alterando o valor LDAPSrvPriority do RODC no site de remediação para certificar-se de que outros controladores de domínio de leitura/gravação ou controladores de domínio somente leitura disponíveis estão preferenciais. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
306602Como otimizar a localização de um controlador de domínio ou catálogo global que resida fora do site do cliente
Para tornar o RODC localizável, especifique o valor de DWORD RegisterSiteSpecificDnsRecordsOnly no registro. Este valor DWORD determina se o RODC tentará registrar registros DNS genéricos.
Recolher esta tabelaExpandir esta tabela
Local do registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nome do valor:RegisterSiteSpecificDnsRecordsOnly
Tipo de valor:DWORD

RegisterSiteSpecificDnsRecordsOnly

Esse valor DWORD Especifica a registro específicas do site e somente os registros de alias (CName). O valor padrão para um RODC é 1 (verdadeiro). Se você definir esse valor como 0 (FALSO), o RODC tentará registrar todos os registros de DNS. Isso inclui registros específicos non-site.

Observação: Se você definir esse valor DWORD para 0, você deve conceder o RODC a permissão de gravação necessários nas zonas DNS relevantes para poder registrar todos os registros DNS.

Mais Informações

Para obter mais informações sobre como determinar o RODC locais na rede de perímetro, visite o seguinte site de Blog do Microsoft TechNet:
http://blogs.technet.com/instan/archive/2009/03/24/troubleshooting-rodc-s-troubleshooting-rodc-location-in-the-dmz.aspx

Propriedades

ID do artigo: 977510 - Última revisão: terça-feira, 24 de novembro de 2009 - Revisão: 1.1
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008 R2
  • Windows Web Server 2008
Palavras-chave: 
kbmt kbtshoot kbexpertiseinter kbsurveynew kbprb KB977510 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 977510

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com