Authentifizierung schlägt fehl, wenn ein externer Client zu einem Windows Server 2008-Server melden Sie sich mit einen schreibgeschützten Domänencontroller in einem Umkreisnetzwerk

Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 977510
Problembeschreibung
Ein externer Client versucht, auf einem Server anmelden, auf dem Windows Server 2008 in einem Umkreisnetzwerk (auch bezeichnet als DMZ, demilitarisierte Zone und überwachten Subnetz) ausgeführt wird. Wenn der Server versucht, den externen Client mithilfe eines Nur-Lese-Domänencontrollers (RODC) im Umkreisnetzwerk zu authentifizieren, schlägt die Authentifizierung fehl.

Hinweis: Wenn der Server zum Authentifizieren des externen Clients mithilfe eines internen Domänencontrollers (DC) zulässig ist, ist die Authentifizierung erfolgreich.
Ursache
Dieses Problem tritt auf, wenn der externe Client nicht welchem Standort weiß, es zum ersten Mal im Perimeternetzwerk eintritt. In diesem Fall macht der externe Client eine generische Domain Name System (DNS)-Abfrage für den _msdcs.domain.com SRV-Ressourceneintrag für einen Domänencontroller, mit denen der Client eine Verbindung herstellen kann. Standardmäßig registrieren RODCs keine generische DNS-Informationen. Stattdessen registriert RODCs nur standortspezifischen DNS-Informationen. Aus diesem Grund gibt die DsGetDCName-Funktion einen RODC nie in die Liste der Domänencontroller für die Domäne zurück.

Hinweis: Wenn keine Ergebnisse aus der DNS-Abfrage generiert werden, die DCLocator-Funktion, die von der Funktion DSGetDCName aufgerufen wird greift zurück auf NetBIOS-name Resolution Functionality (WINS und Broadcasts). Schlägt jedoch fehl, wenn WINS-Dienst ist nicht konfiguriert ist und Broadcasts gesperrt sind, dann dieses Fallbackmechanismus auch.

Wenn die Firewallregeln die externen Clients mit mindestens einem Domänencontroller mit Lese-/Schreibzugriff (RWDC) verbinden lassen, wird die externen Clients auf den RODC umgeleitet. Dieses Verhalten tritt auf, sobald der RWDC bestimmt, dass die externen Clients auf dem RODC-Website ist.

Hinweis:In diesem Fall sollte sich beide Computer im Umkreisnetzwerk.
Lösung
Um dieses Problem zu beheben, müssen Sie den RODC aus einer generischen DNS-Abfrage auffindbar machen.

Hinweis: Sie können den Effekt Sicherheit der Registrierung die generischen DNS-Einträge durch Ändern des LDAPSrvPriority-Wertes, der der RODC in der Wiederherstellung der Website, um sicherzustellen, dass andere verfügbaren schreibgeschützten Domänencontrollern oder Domänencontrollern mit Lese-/Schreibzugriff bevorzugt werden minimieren. Weitere Informationen finden Sie die folgende KB-Artikelnummer:
306602Gewusst wie: optimieren die Position eines Domänencontrollers oder globalen Katalog, der sich außerhalb der Site des Clients befindet
Auf den RODC auffindbar machen, geben Sie den RegisterSiteSpecificDnsRecordsOnly DWORD-Wert in der Registrierung. Dieser DWORD-Wert bestimmt, ob der RODC generischen DNS-Datensätze registrieren möchte.
Speicherort in der Registrierung:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Wertname:RegisterSiteSpecificDnsRecordsOnly
Werttyp:DWORD

RegisterSiteSpecificDnsRecordsOnly

Dieser DWORD-Wert gibt an, dass registrieren standortspezifische und nur Datensätze Alias (CName). Der Standardwert für einen RODC ist 1 (WAHR). Wenn Sie diesen Wert auf 0 (falsch) festlegen, versucht der RODC alle DNS-Datensätze registrieren. Dazu gehören auch bestimmte Einträge non-Site.

Hinweis: Wenn dieser DWORD-Wert auf 0 festgelegt ist, müssen Sie die erforderliche Schreibberechtigung für die entsprechenden DNS-Zonen in der Lage sein, um alle DNS-Datensätze registrieren dem RODC gewähren.
Weitere Informationen
Weitere Informationen zum Ermitteln der RODC Speicherorte im Umkreisnetzwerk finden Sie auf die folgende Microsoft TechNet-Blog-Website:

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 977510 – Letzte Überarbeitung: 11/24/2009 04:40:32 – Revision: 1.1

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008 R2, Windows Web Server 2008

  • kbmt kbtshoot kbexpertiseinter kbsurveynew kbprb KB977510 KbMtde
Feedback