Dochází k prodlevám v procesu ověření uživatele při spuštění serveru velkoobjemové program na členem domény Windows 2000 nebo Windows Server 2003

Důležité: Tento článek obsahuje informace o úpravě registru. Přesvědčte se, zda jste zálohovali registr před úpravami. Ujistěte se, že víte, jak registr obnovit v případě výskytu problému. Další informace o zálohování, obnovení a úpravě registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows

Příznaky

Při spuštění serveru velkoobjemové program na členem domény, který používá protokol Kerberos pro ověřování uživatelů, dochází k prodlevám v procesu ověřování uživatele. Navíc zjistíte zvýšení přenos vzdáleného volání procedur (RPC) mezi řadiči domény, který používá rozhraní Net Logon RPC a serverem.

Jestliže povolíte protokolování ladění pro službu přihlašování k síti řadič domény nebo v členském počítači domény, je zaznamenána následující položka v Netlogon.log:

Příčina

K tomuto problému dochází, protože klient Kerberos ověřuje podpis certifikátu atribut oprávnění (PAC) v lístku Kerberos pomocí řadiče domény. Kerberos klient provede toto ověření chcete-li zabránit falšování PAC. Zvýšení síťového provozu vytváří požadavky vzdáleného volání Procedur, které jsou součástí tohoto procesu ověřování.

Klient protokolu Kerberos toto ověření provádí pouze pro nedůvěryhodné volající. Aplikace uživatelského režimu, jsou uznány jako nedůvěryhodné volající.

Řešení

Informace o aktualizaci Service pack

Chcete-li tento problém vyřešit, získat nejnovější aktualizaci service pack pro systém Windows Server 2003 a použít změnu registru, které jsou podrobně popsány níže, chcete-li zakázat ověřování práškového aktivního uhlí. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
889100 jak získat nejnovější aktualizaci service pack pro systém Windows Server 2003
Po získání nejnovější aktualizace service pack pro systém Windows Server 2003 vypnete PAC ověření pro služby.

Upozornění: Při nesprávné úpravě registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

V systému Windows Server 2003 SP2 můžete vypnout PAC ověření pro služby. Chcete-li to provést, přidejte položku registru ValidateKdcPacSignature následující podklíč registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Přidáte položku ValidateKdcPacSignature jako položku typu DWORD na serverech, které jsou autentizaci uživatelů v aplikaci služby. Tyto servery mohou zahrnovat řadiče domény. Pokud tato položka hodnotu 0, neprovádí Kerberos ověřování práškového aktivního uhlí na proces, který běží jako služba. Pokud tato položka hodnotu 1, provádí Kerberos PAC ověření obvyklým způsobem. Máte k restartování počítače po úpravě této položky registru. Pokud tato položka není k dispozici, systém chová se jako položka nebyly nalezeny a má hodnotu 1. Výchozí hodnota v systému Windows Server 2008 pro tuto položku je 0.


Další informace o povolení protokolování ladění pro službu přihlašování k síti klepněte na následující číslo článku databáze Microsoft Knowledge Base:
109626 povolení ladění protokolování pro službu přihlašování k síti

Stav

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části "Platí pro". Tento problém byl poprvé opraven v Microsoft Windows Server 2003 Service Pack 2.
Vlastnosti

ID článku: 906736 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor