Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Gewusst wie: Kerberos zwingen, TCP anstelle von UDP in Windows verwenden

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 244474
Zusammenfassung
Windows Kerberos-Authentifizierungspaket ist das Standard-Authentifizierungspaket in Windows Server 2003, Windows Server 2008 und Windows Vista. Es arbeitet parallel mit NTLM Challenge/Response-Protokoll und wird in Fällen, in denen ein Client und ein Server Kerberos aushandeln. Request for Comments (RFC) 1510 zeigt an, dass der Client ein Datagramm (UDP = User Datagram Protocol) an Port 88 der IP-Adresse des Key Distribution Center (KDC) senden soll, wenn ein Client den Schlüsselverteilungscenter kontaktiert. Das KDC sollte an die IP-Adresse des Absenders mit ein Antwortdatagramm reagieren. RFC ferner, dass UDP das erste Protokoll sein muss, das versucht wird.

HinweisRFC 4120 veraltete nun RFC 1510. RFC 4120 gibt ein KDC TCP-Anträge muss und sollte für solche Anfragen an Port 88 (dezimal). Standardmäßig Windows Server 2008 und Windows Vista wird zuerst TCP für Kerberos MaxPacketSize Standard ist jetzt 0. Den Registrierungswert MaxPacketSize können weiterhin dieses Verhalten überschreiben.

Eine Einschränkung für die UDP-Paketgröße möglicherweise die folgende Fehlermeldung bei Anmeldung an der Domäne:
Ereignisprotokollfehler 5719
Quelle NETLOGON

Ist kein Windows NT- oder Windows 2000-Domänencontroller für Domäne verfügbar Domäne. Fehler:

Zurzeit die Anmeldung Anforderung zur Verfügung.
Außerdem kann das Tool Netdiag folgenden Fehlermeldungen angezeigt:
Fehlermeldung 1
DC Liste Test ein : Fehlgeschlagen [Warnung] kann nicht DsBind, COMPUTERNAMEDC.domain.com (159.140.176.32) aufgerufen werden. [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Fehlermeldung 2
Kerberos Test........... : Fehlgeschlagen [FATAL] Kerberos verfügt nicht über ein Ticket für den Namen MemberServer ein$.]
Die Windows XP-Ereignisprotokolle die Symptome dieses Problems sind SPNegotiate 40960 und Kerberos 10.
Weitere Informationen
Um uns das Problem beheben, fahren Sie mit dem "Automatisch mit Fix it beheben lassen"Abschnitt. Wenn Sie das Problem selbst beheben möchten, fahren Sie mit dem "Problem manuell beheben"Abschnitt.

Automatisch mit Fix it beheben lassen

Klicken Sie auf die Fix it -Schaltfläche oder einen Link, um dieses Problem automatisch zu beheben. Klicken Sie auf Ausführen im Dialogfeld Dateidownload, und folgen Sie den Schritten in den Fix it Assistenten.




Hinweise
  • Dieser Assistent ist nur auf Englisch verfügbar. Die automatische Korrektur funktioniert aber trotzdem auch für andere Sprachversionen von Windows.
  • Verwenden Sie nicht den Computer mit dem Problem, die Korrektur speichern diese Lösung auf ein Flashlaufwerk oder eine CD und führen Sie es auf dem Computer das Problem.

Fahren Sie mit dem "Wurde das Problem behoben?"Abschnitt.



Problem manuell beheben

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Für zusätzlichen Schutz, sichern Sie die Registry, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Wie Sie die Registrierung in Windows sichern und wiederherstellen können?


Wichtig Wenn Sie UDP für Kerberos verwenden, reagiert Ihr Clientcomputer nicht mehr (hängt), wenn die folgende Meldung angezeigt:
Laden Ihre persönlichen.
Standardmäßig ist die maximale Größe der Datenpakete für die Windows Server 2003 UDP verwendet 1.465 Byte. Windows XP und Windows 2000 beträgt die maximale Größe 2.000 Byte. Transmission Control Protocol (TCP) wird für Datagramm verwendet, die größer als dieser Maximalwert. Die maximale Größe der Datenpakete für die UDP verwendet wird kann ein Schlüssel und Wert geändert werden.

Kerberos verwendet standardmäßig verbindungslose UDP-Datagrammpakete. Abhängig von einer Vielzahl von Faktoren, die Sicherheit der SID-Verlauf und Gruppenmitgliedschaft haben einige Konten Kerberos-Authentifizierung Paket größer. Je nach Hardwarekonfiguration virtuelles privates Netzwerk (VPN) müssen diese größeren Pakete fragmentiert werden, wenn über ein VPN. Das Problem wird durch den Fragmentierung dieser großen UDP-Kerberos-Pakete verursacht. Da UDP ein verbindungsloses Protokoll handelt, werden fragmentierte UDP-Pakete kommen am Ziel nicht gelöscht.

Wenn Sie MaxPacketSize auf 1 ändern, zwingen Sie den Client TCP verwendet Kerberos-Datenverkehr durch den VPN-Tunnel gesendet. Da TCP verbindungsorientiertes Protokoll handelt, ist es zuverlässiger Transportmittel über VPN-Tunnel. Auch wenn die Pakete verworfen werden, wird der Server das fehlende Datenpaket erneut anfordern.


Sie können 1 zu erzwingen, dass Clients mit Kerberos-Datenverkehr über TCP MaxPacketSize ändern. Gehen Sie hierzu folgendermaßen vor:
  1. Starten Sie den Registry Editor.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Hinweis Wenn der Parameterschlüssel nicht existiert, erstellen Sie Itnow.
  3. Im Menü Bearbeiten aufneu, und klicken Sie dann auf DWORD-Wert.
  4. Typ MaxPacketSize, und klicken Sie dann PressENTER.
  5. Doppelklicken Sie auf MaxPacketSizeTyp1im Feld Wert Klicken Wählen Sie die Option " Decimal " und klicken Sie auf OK.
  6. Beenden Sie den Registrierungseditor.
  7. Starten Sie den Computer neu.

    Dies ist der Lösungsansatz für Microsoft Windows 2000, XP und Server 2003. Windows Vista und neueren Standardwert "0" für MaxPacketSize wird auch die Verwendung von UDP für Kerberos-Client verwenden.

Wurde das Problem behoben?

  • Überprüfen Sie, ob das Problem behoben ist. Wenn das Problem behoben ist, Sie sind mit diesem Abschnitt fertig. Wenn das Problem nicht behoben ist, können Sie Kontakt zum support.
  • Wir schätzen Ihr Feedback. Feedback geben oder Probleme mit dieser Lösung zu informieren, Schreiben Sie einen Kommentar für die "Automatisch mit Fix it beheben lassen"Blog oder senden Sie uns eine E-Mail.
Folgende Vorlage ist eine administrative Vorlage importiert werden kann Gruppenrichtlinien können Sie den Wert "MaxPacketSize" für alle Enterprise-Computer festgelegt werden, die Windows Server 2003, Windows XP oder Windows 2000 ausgeführt werden. Klicken Sie MaxPacketSize Einstellungen im Gruppenrichtlinien-Editor Nur Richtlinien anzeigen im Menü Ansicht , damit nicht Nur Richtlinien anzeigen aktiviert ist. Diese Vorlage verändert Registrierungsschlüssel außerhalb des Richtlinienabschnitts. Standardmäßig zeigt den Gruppenrichtlinienobjekt-Editor keine Registrierungseinträge. Klicken Sie für Weitere Informationen auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
320903 Können keine Anmeldung von Clients mit Kerberos über TCP

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 244474 – Letzte Überarbeitung: 06/11/2016 04:04:00 – Revision: 2.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Ultimate, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter

  • kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtde
Feedback
>async=""> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write(" >