Eine Verzögerung bei der Authentifizierung Benutzer beim Ausführen einer High-Volume-Serverprogramm auf Mitglied einer Domäne in Windows 2000 oder Windows Server 2003

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 906736
wichtig Dieser Artikel enthält Informationen zum Ändern der Registrierung. Stellen Sie sicher, dass Sie die Registrierung sichern bevor Sie Sie ändern. Stellen Sie sicher, dass Sie die Registrierung wiederherstellen kennen, wenn ein Problem auftritt. Weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986Beschreibung der Microsoft Windows-Registrierung
Problembeschreibung
Beim Ausführen von ein High-Volume-Serverprogramm auf Mitglied einer Domäne, die Kerberos zur Authentifizierung von Benutzern verwendet, tritt eine Verzögerung im Prozess der Benutzerauthentifizierung auf. Darüber hinaus sehen Sie einen Anstieg der remote Procedure Call (RPC)-Datenverkehr zwischen der Domänencontroller, der die Net Logon RPC-Schnittstelle verwendet und dem Server.

Wenn Sie die Debugprotokollierung für den Anmeldedienst auf das Domänenmitglied oder auf dem Domänencontroller aktivieren, in der folgende Eintrag protokolliert die in der Netlogon.log:

[ANMELDUNG] SamLogon: Allgemeine Anmeldung von <domain name> \(null) aus (null) Paket: Kerberos angegebene

Ursache
Dieses Problem, da der Kerberos-Client die Signatur (Berechtigungen Attribute Certificate, PAC) in das Kerberos-Ticket mithilfe des Domänencontrollers überprüft. Der Kerberos-Client führt diese Überprüfung um PAC spoofing zu verhindern. Der erhöhten Netzwerkverkehr wird von der RPC-generiert Anforderungen, die Teil dieser Überprüfung sind.

Der Client nur für diese Überprüfung führt Kerberos nicht vertrauenswürdige Aufrufer. Benutzermodus-Anwendungen werden als nicht vertrauenswürdige Aufrufer erkannt.
Lösung

Informationen zu Service Packs

Dieses Problem zu beheben, installieren Sie das neueste Servicepack für Windows Server 2003 und die Änderung der Registrierung detaillierte unter So deaktivieren Sie PAC Validierung. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
889100So erhalten Sie das neueste Servicepack für Windows Server 2003
Nachdem Sie das neueste Servicepack für Windows Server 2003 erhalten haben, deaktivieren Sie PAC-Überprüfung für Dienste.

Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung falsch mithilfe des Registrierungs-Editors oder mithilfe einer anderen Methode ändern. Diese Probleme erfordern möglicherweise eine das Betriebssystem neu installieren. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigene Gefahr.

In Windows Server 2003 SP2 können Sie deaktivieren PAC-Überprüfung für Dienste. Dazu fügen Sie den ValidateKdcPacSignature-Registrierungseintrag zum folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Fügen Sie den ValidateKdcPacSignature Eintrag als Eintrag vom Typ DWORD auf den Servern, die Benutzer in Anwendungsdienste authentifiziert werden. Diese Server können Domänencontroller enthalten. Wenn der Wert dieses Eintrags 0 ist, führt Kerberos nicht PAC-Überprüfung für einen Prozess, die als Dienst ausgeführt wird. Wenn der Wert dieses Eintrags 1 ist, führt Kerberos PAC Validierung wie gewohnt. Sie müssen den Computer neu starten, nachdem Sie diesen Registrierungseintrag geändert. Wenn dieser Eintrag nicht vorhanden ist, verhält sich so das System, als ob der Eintrag vorhanden waren und den Wert 1 hat. Der Standardwert in Windows Server 2008 für diesen Eintrag ist 0.

Weitere Informationen zum Aktivieren der Debugprotokollierung für den Netlogon-Dienst finden Sie im folgenden Artikel der Microsoft Knowledge Base:
109626Aktivieren der Debugprotokollierung für den Netlogon-Dienst
Status
Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind. Dieses Problem wurde erstmals im Microsoft Windows Server 2003 Service Pack 2.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 906736 – Letzte Überarbeitung: 01/12/2009 23:03:52 – Revision: 9.1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbmt kbqfe kbwinserv2003sp2fix kbtshoot kbbug KB906736 KbMtde
Feedback