Az UDP helyett a TCP protokoll használatának kényszerítése a Kerberos szolgáltatásban Windows rendszer esetén

A következőkre vonatkozik: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)

Összefoglaló


A Windows rendszerben alkalmazott Kerberos hitelesítési csomag a Windows Server 2003, a Windows Server 2008 és a Windows Vista alapértelmezett hitelesítési csomagja. Ez a hitelesítési protokoll az NTLM kérdés-válasz protokollal együtt alkalmazható, és abban az esetben használatos, ha az ügyfélszámítógép és a kiszolgáló egyaránt támogatja a Kerberos-egyeztetést. Az 1510-es számú RFC-dokumentum szerint az ügyfélszámítógépnek User Datagram Protocol (UDP) datagramot kell küldenie a kulcsszolgáltató (KDC) IP-címének 88-as portjára, amikor az ügyfélszámítógép kapcsolatba lép a kulcsszolgáltatóval. A kulcsszolgáltatónak ekkor válaszdatagramot kell küldenie a küldő IP-címének küldési portjára. Az RFC-dokumentumban szintén szerepel, hogy az elsőként megkísérelt protokoll az UDP legyen.

Megjegyzés:A 4120 jelű RFC-dokumentum elavulttá teszi az 1510 jelű RFC tartalmát. A 4120 jelű RFC-dokumentum meghatározza, hogy a kulcsszolgáltatóknak el kell fogadniuk a TCP-kéréseket, és ezeket a kéréseket a 88-as (decimális) porton kell figyelniük. Alapértelmezés szerint a Windows Server 2008 és a Windows Vista először a TCP protokoll használatára tesz kísérletet a Kerberos hitelesítéshez, mert a MaxPacketSize beállításazonosító alapértelmezett értéke most 0. A MaxPacketSize segítségével ez a viselkedés továbbra is megváltoztatható.

Az UDP-csomagok méretének korlátozása a következő hibaüzenetet eredményezheti a tartományi bejelentkezésnél:
Esemény-naplóbeli hiba: 5719
Forrás: NETLOGON

Nem érhető el Windows NT vagy Windows 2000 tartományvezérlő a következő tartományhoz: tartománynév. A következő hiba történt:

Pillanatnyilag nincsenek olyan beléptető kiszolgálók, amelyek teljesíthetnék a belépési kérelmet.
Továbbá a Netdiag segédprogram a következő hibaüzeneteket jelenítheti meg:
1. hibaüzenet
DC list test . . . . . . . . . . . : Failed [WARNING] Cannot call DsBind to SZÁMÍTÓGÉPNÉVTARTOMÁNYVEZÉRLŐ.tartomány.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
2. hibaüzenet
Kerberos test. . . . . . . . . . . : Failed [FATAL] Kerberos does not have a ticket for TAGKISZOLGÁLÓ$.]
A Windows XP rendszerben a problémát jelző esemény-naplóbeli bejegyzések a következők: SPNegotiate 40960 és Kerberos 10.

További információ


Ha azt szeretné, hogy a probléma megoldása automatikusan történjen, lépjen tovább az Automatikus javítás című szakaszra. A probléma saját kezű javításáról a Kézi javítás című szakaszban tájékozódhat.

Automatikus javítás

A probléma automatikus javításához kattintson A probléma javítása hivatkozásra vagy a fölötte látható gombra. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
Megjegyzések
 • Előfordulhat, hogy a varázsló csak angol nyelven érhető el. Az automatikus javítás ugyanakkor a Windows többi nyelvi változatával is működik.
 • Ha ezt a cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, az automatikus javítást mentse egy USB-meghajtóra vagy CD-re, és azon a számítógépen futtassa, amelyen a hiba jelentkezik.

Ezt követően ugorjon a Megoldódott a probléma? című szakaszra.Kézi javítás

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magába foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows XP rendszerben


Fontos: Ha UDP protokollt használ a Kerberos hitelesítéshez, az ügyfélszámítógép lefagyhat az alábbi üzenet megjelenésekor:
Az Ön személyes beállításainak betöltése.
A Windows Server 2003 rendszerben az UDP protokoll datagramcsomagjainak maximális mérete alapértelmezés szerint 1465 bájt. Windows XP és Windows 2000 rendszer esetén a maximális méret 2000 bájt. A Transmission Control Protocol (TCP) protokollt akkor használja a rendszer, amikor a datagramcsomag mérete meghaladja ezt a maximális értéket. Az UDP protokoll datagramcsomagjainak maximális mérete a kapcsolódó beállításkulcs (korábbi nevén rendszerleíró kulcs) és -érték módosításával állítható be.

A Kerberos alapértelmezés szerint offline UDP datagramcsomagokat használ. Bizonyos fiókok nagyobb Kerberos-hitelesítési csomagmérettel is rendelkezhetnek, melyet számos tényező határoz meg, ideértve a biztonsági azonosító (SID) előzményét és a csoporttagságot is. A virtuális magánhálózat (VPN) hardverkonfigurációjától függően ezeknek a nagyobb adatcsomagoknak a virtuális magánhálózaton történő áthaladáskor töredezettnek kell lenniük. A problémát az UDP protokoll nagyobb Kerberos-adatcsomagjainak töredezettsége okozza. Mivel az UDP egy offline protokoll, a töredezett UDP-csomagokat eldobja a rendszer, amint azok elérték a nem működő célszámítógépet.

Ha 1-re módosítja a MaxPacketSize értékét, arra kényszeríti az ügyfélszámítógépet, hogy a Kerberos forgalmát a TCP protokoll használatával küldje át a VPN-alagúton. Mivel a TCP egy kapcsolatalapú protokoll, megbízhatóbb megoldást kínál az adatok VPN-alagúton történő átviteléhez. Használata esetén a kiszolgáló abban az esetben is újrakérelmezi a hiányzó adatcsomagot, ha azt a rendszer korábban már eldobta.


A MaxPacketSize érték 1-re történő módosításával a Kerberos-forgalom TCP protokollon keresztüli lebonyolítására kényszerítheti az ügyfélszámítógépet. Ehhez hajtsa végre a következő lépéseket:
 1. Indítsa el a Beállításszerkesztőt.
 2. Keresse meg az alábbi beállításkulcsot, majd kattintson rá:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
  Megjegyzés: Ha a Parameters kulcs nem létezik, hozza létre.
 3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
 4. Írja be a MaxPacketSize értéket, majd nyomja le az ENTER billentyűt.
 5. Kattintson duplán a MaxPacketSize elemre, írja be az 1 értéket az Érték mezőbe, jelölje be a Decimális választógombot, és kattintson az OK gombra.
 6. Lépjen ki a Beállításszerkesztőből.
 7. Indítsa újra a számítógépet.

  A Microsoft Windows 2000, a Windows XP és a Windows Server 2003 rendszerben ezt a megoldást kell követni. Windows Vista és újabb rendszerekben a MaxPacketSize kulcs alapértelmezett értéke „0”, ami az UDP protokoll használatát is letiltja a Kerberos-ügyfélhez.

Megoldódott a probléma?

A következő sablon egy felügyeleti sablon, amely importálható a Csoportházirendbe annak érdekében, hogy a MaxPacketSize érték beállítható legyen az összes Windows Server 2003, Windows XP vagy Windows 2000 rendszert futtató vállalati számítógépen. A MaxPacketSize beállításának Csoportházirendobjektum-szerkesztőben történő megtekintéséhez kattintson a Nézet menü Csak a házirendek megjelenítése parancsára (így a Csak a házirendek megjelenítése nem lesz kiválasztva). Ez a sablon a Házirendek részen kívüli beállításkulcsokat módosítja. A Csoportházirendobjektum-szerkesztő alapértelmezés szerint nem jeleníti meg ezeket a rendszerbeállításokat.
A Microsoft Tudásbázis kapcsolódó cikke:
320903 A Kerberos hitelesítést használó ügyfelek nem tudnak bejelentkezni TCP protokollon keresztül