Authentifizierung schlägt fehl, wenn ein externer Client schreibgeschützte Domänencontroller in einem Perimeternetzwerk mit Windows Server 2008-Server anmelden

Problembeschreibung

Externer Client versucht sich zu einem Server, auf dem Windows Server 2008 in einem Umkreisnetzwerk (auch DMZ, Demilitarized Zone und überwachtes Subnetz) ausgeführt wird. Wenn der Server versucht, mit einem schreibgeschützten Domänencontroller (RODC) im Perimeternetzwerk externen Client authentifizieren, schlägt die Authentifizierung fehl.

Hinweis Wird der Server externen Client authentifizieren mit einem internen Domänencontroller (DC), ist die Authentifizierung erfolgreich.

Ursache

Dieses Problem tritt bei externe Client nicht Site, zuerst im Umkreisnetzwerk eingibt. In diesem Fall macht der externe Client eine Standardabfrage (DNS = Domain Name System) für den _msdcs.domain.com SRV-Ressourceneintrag für einen Domänencontroller, der Client eine Verbindung herstellen kann. Standardmäßig registrieren RODCs nicht generischen DNS-Informationen. Stattdessen registrieren RODCs nur standortspezifischen DNS-Informationen. Daher gibt die DsGetDCName -Funktion nie einen RODC in der Liste der Domänencontroller für die Domäne.

Hinweis Die DNS-Abfrage keine Ergebnisse generiert, die DC-Locator- Funktion, durch die DSGetDCName -Funktion aufgerufen wird, schaltet NetBIOS name Resolution-Funktionalität (WINS und Broadcasts). Allerdings schlägt WINS lässt keine Broadcasts blockiert und dieses Fallbackmechanismus auch.

Die Firewallregeln externen Client mindestens eine Schreib-Lese-Domänencontroller (RWDC) herstellen können, wird der externe Client auf den RODC umgeleitet. Dieses Verhalten tritt auf, sobald die RWDC fest, dass externe Clients auf dem RODC-Website.

Hinweis In diesem Fall sollte sich beide Computer im Umkreisnetzwerk.

Problemlösung

Um dieses Problem zu beheben, muss den RODC aus einer generischen DNS-Abfrage auffindbar machen.

Hinweis Minimieren Sie Auswirkung registrieren allgemeine DNS-Datensätze den Wert LDAPSrvPriority des RODC zu anderen verfügbaren schreibgeschützte Domänencontroller oder Schreib-Lese-Domänencontroller werden in den Standort ändern. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

306602 wie Optimieren der Position von einem Domänencontroller oder globalen Katalog befindet sich außerhalb des Kunden

Um den RODC auffindbar machen, geben Sie den RegisterSiteSpecificDnsRecordsOnly DWORD-Wert in der Registrierung. Dieser DWORD-Wert bestimmt, ob der RODC generischen DNS-Datensätze registrieren versucht.
Registrierungsschlüssel:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Name des Werts:RegisterSiteSpecificDnsRecordsOnly
Typ:DWORD

RegisterSiteSpecificDnsRecordsOnly

Dieser DWORD-Wert gibt standortspezifische und nur Datensätze Alias (CName). Der Standardwert für einen RODC ist 1 (WAHR). Wenn Sie diesen Wert auf 0 (FALSE) festlegen, versucht RODC alle DNS-Einträge registrieren. Dazu gehören bestimmte Datensätze-Seite.

Hinweis Wenn dieser DWORD-Wert auf 0 festlegen, müssen Sie dem RODC benötigt Schreibzugriff auf die entsprechenden DNS-Zonen auf alle DNS-Einträge registrieren gewähren.

Weitere Informationen

Weitere Informationen zum Ermitteln der RODC Speicherorte im Perimeternetzwerk finden Sie auf der folgenden Microsoft TechNet-Blog-Website:
Eigenschaften

Artikelnummer: 977510 – Letzte Überarbeitung: 13.01.2017 – Revision: 1

Feedback