Autenticação falha quando um cliente externo tenta iniciar sessão num servidor Windows Server 2008 se utilizar um controlador de domínio só de leitura numa rede de perímetro

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 977510
Sintomas
Um cliente externo tenta iniciar sessão num servidor com o Windows Server 2008 numa rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada). Quando o servidor tenta autenticar o cliente externo se utilizar um controlador de domínio só de leitura (RODC) na rede de perímetro, a autenticação falha.

Nota Se for permitido no servidor para autenticar o cliente externo utilizando um controlador de domínio interno (DC), a autenticação é efectuada com êxito.
Causa
Este problema ocorre quando o cliente externo não sabe qual site entra pela primeira vez na rede de perímetro. Quando isto ocorre, o cliente externo efectua uma consulta de sistema de nomes de domínio (DNS) genérico para o registo de recurso SRV _msdcs.domain.com para um controlador de domínio ao qual o cliente pode ligar. Por predefinição, RODCs não registar quaisquer informações de DNS genéricas. Em vez disso, RODCs apenas registar informações de DNS específicos de local. Por conseguinte, a função DsGetDCName nunca devolve um RODC na lista de DC para o domínio.

Nota Se nenhum resultado é gerado a partir da consulta de DNS, a função DCLocator que é chamada pela função DSGetDCName reverte para NetBIOS Nome funcionalidade de resolução (WINS e difusão). No entanto, se o WINS não está configurado e difusões são bloqueadas, em seguida, este mecanismo reversão também falhará.

Se as regras de firewall permitem externo cliente ligar ao controlador de domínio, pelo menos, uma leitura/escrita (RWDC), o cliente externo é redireccionado para o RODC. Este comportamento ocorre logo a RWDC determina que o cliente externo está site o RODC.

NotaQuando isto ocorre deverão ser ambos os computadores na rede de perímetro.
Resolução
Para resolver este problema, é necessário tornar o RODC identificáveis de uma consulta DNS genérica.

Nota Pode minimizar o efeito de segurança de registar os registos de DNS genéricos alterando o valor LDAPSrvPriority o RODC no site de reparação para se certificar de que outros controladores de domínio disponível só de leitura ou controladores de domínio de leitura/escrita estão preferenciais. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
306602Como optimizar a localização de um controlador de domínio ou catálogo global que resida fora do site do cliente
Para tornar o RODC identificável, especifique o valor de DWORD RegisterSiteSpecificDnsRecordsOnly no registo. Este valor DWORD determina se o RODC tenta registar registos de DNS genéricos.
Localização do registo:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nome do valor:RegisterSiteSpecificDnsRecordsOnly
Tipo de valor:DWORD

RegisterSiteSpecificDnsRecordsOnly

Este valor DWORD Especifica a registo local específico e apenas os registos de alias (CName). O valor predefinido de um RODC é 1 (verdadeiro). Se definir este valor como 0 (FALSE), o RODC tenta registar todos os registos DNS. Isto inclui registos específicos que não sejam do site.

Nota Se definir este valor DWORD para 0, tem de conceder o RODC a permissão de escrita necessária as zonas DNS relevantes para conseguir registar todos os registos de DNS.
Mais Informação
Para mais informações sobre como determinar RODC localizações na rede de perímetro, visite o seguinte site da Microsoft TechNet blogue:

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 977510 - Última Revisão: 11/24/2009 04:40:32 - Revisão: 1.1

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008 R2, Windows Web Server 2008

  • kbmt kbtshoot kbexpertiseinter kbsurveynew kbprb KB977510 KbMtpt
Comentários