Postup pri vynútení používania protokolu TCP namiesto protokolu UDP protokolom Kerberos v systéme Windows

S U H R N

Overovací balík Windows Kerberos je predvoleným overovacím balíkom v systémoch Windows Server 2003, Windows Server 2008 a Windows Vista. Používa sa spolu s protokolom výzva/odpoveď NTLM v inštanciách, v ktorých protokol Kerberos môžu vyjednať klient i server. V dokumente RFC (Request for Comments) 1510 sa uvádza, že ak klient kontaktuje službu KDC (Key Distribution Center), mal by na port 88 na adrese IP služby KDC poslať datagram protokolu UDP (User Datagram Protocol). Služba KDC by mala odpovedať datagramom odpovede na odosielajúci port na adrese IP odosielateľa. V dokumente RFC sa tiež uvádza, že ako prvý sa musí vyskúšať protokol UDP.

PoznámkaDokument RFC 4120 teraz nahrádza dokument RFC 1510. V dokumente RFC 4120 sa stanovuje, že sa v službe KDC musia prijímať žiadosti protokolu TCP a mali by sa akceptovať takéto žiadosti smerované na port 88 (decimal). V systémoch Windows Server 2008 a Windows Vista sa pre protokol Kerberos na základe predvoleného nastavenia vyskúša najskôr protokol TCP, pretože položka MaxPacketSize je predvolene nastavená na hodnotu 0. Pomocou hodnoty databázy Registry MaxPacketSize však toto správanie môžete prepísať.

Obmedzenie veľkosti paketu UDP môže pri prihlasovaní do domény spôsobiť, že sa zobrazí nasledujúce chybové hlásenie:
Chyba denníka udalostí 5719
Zdroj NETLOGON

Pre doménu Doména nie je k dispozícii žiadny radič domény systému Windows NT alebo Windows 2000. Vyskytla sa nasledujúca chyba:

Na vybavenie požiadavky o prihlásenie nie sú momentálne k dispozícii žiadne prihlasovacie servery.
Nástroj Netdiag môže navyše zobraziť nasledujúce chybové hlásenia:
Chybové hlásenie 1
DC list test . . . . . . . . . . . : Failed [WARNING] Cannot call DsBind to COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Chybové hlásenie 2
Kerberos test. . . . . . . . . . . : Failed [FATAL] Kerberos does not have a ticket for MEMBERSERVER$.]
Príznakmi tohto problému sú denníky udalostí systému Windows XP SPNegotiate 40960 and Kerberos 10.

D A L S I E I N F O R M A C I E

Ak chcete, aby sme tento problém vyriešili za vás, prejdite do časti Opravte to za mňa. Ak chcete tento problém vyriešiť sami, prejdite do časti Ja to vyriešim.

Opravte to za mňa

Ak chcete tento problém vyriešiť automaticky, kliknite na tlačidlo alebo prepojenie Fix it. Kliknite na položku Spustiť v dialógovom okne Prevzatie súboru a postupujte podľa pokynov Sprievodcu nástroja Fix it.




Poznámky
 • Tento sprievodca môže byť dostupný iba v angličtine. Automatická oprava však funguje aj pre ostatné jazykové verzie systému Windows.
 • Ak nepracujete s počítačom, v ktorom sa vyskytol problém, môžete riešenie Fix it uložiť na jednotku flash alebo na disk CD a potom ho môžete spustiť v počítači s problémom.

Potom prejdite do časti Vyriešil sa problém?



Ja to vyriešim

Dôležité upozornenie Táto časť, postup alebo úloha obsahuje kroky, ktoré informujú o úpravách databázy Registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Postupujte preto presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je vhodné pred úpravou databázu Registry zálohovať. To vám umožní obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete v nasledovnom článku databázy Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy Registry v systéme Windows


Dôležité Ak pre Kerberos použijete protokol UDP, klientsky počítač môže po zobrazení nasledujúceho hlásenia prestať reagovať (zablokuje sa):
Načítavajú sa vaše osobné nastavenia.
V predvolenom nastavení je maximálna veľkosť datagramových paketov, pre ktoré používa systém Windows Server 2003 protokol UDP, 1 465 bajtov. Pre systémy Windows XP a Windows 2000 je táto maximálna hodnota 2 000 bajtov. Pre každý paket datagramu, ktorý je väčší ako uvedené maximum, sa používa protokol TCP (Transmission Control Protocol). Maximálnu veľkosť paketov datagramu, pre ktoré sa používa protokol UDP, je možné zmeniť úpravou hodnoty a kľúča databázy Registry.

Na základe predvoleného nastavenia protokol Kerberos používa datagramové pakety protokolu UDP bez pripojenia. V závislosti od rôznych faktorov, ako je história identifikátorov zabezpečenia SID a členstvo v skupine, sa pre niektoré kontá použije väčšia veľkosť overovacích paketov protokolu Kerberos. V závislosti od hardvérovej konfigurácie virtuálnej súkromnej siete (VPN) je pri prenose v sieti VPN potrebné takéto väčšie pakety rozdeliť. Tento problém je spôsobený rozdelením týchto veľkých paketov protokolu UDP Kerberos. Pretože UDP je protokol bez pripojenia, rozdelené pakety UDP sa v prípade, že nedorazia do cieľa v poriadku, vynechajú.

Ak zmeníte položku MaxPacketSize na hodnotu 1, prinútite klienta používať pri prenosoch protokolom Kerberos cez tunel VPN protokol TCP. Keďže je protokol TCP zameraný na pripojenie, predstavuje dôveryhodnejší spôsob prenosu tunelom VPN. V prípade, že sa pakety stratia, server o chýbajúce údajové pakety opätovne požiada.


Zmenou parametra MaxPacketSize na hodnotu 1 je možné klientov prinútiť, aby používali prenosy protokolom Kerberos s protokolom TCP. Pri zmene postupujte nasledovne:
 1. Spustite Editor databázy Registry.
 2. Vyhľadajte a kliknite na nasledujúci podkľúč databázy Registry:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
  Poznámka: Ak kľúč Parameters neexistuje, vytvorte ho.
 3. V ponuke Úpravy ukážte na položku Nové a potom kliknite na položku Hodnota DWORD.
 4. Zadajte reťazec MaxPacketSize a stlačte kláves ENTER.
 5. Dvakrát kliknite na položku MaxPacketSize, zadajte hodnotu 1 do poľa Údaj hodnoty, kliknutím vyberte možnosť Desiatková a kliknite na tlačidlo OK.
 6. Zatvorte Editor databázy Registry.
 7. Reštartujte počítač.

  Toto je postup riešenia pre systémy Microsoft Windows 2000, XP a Server 2003. V systémoch Windows Vista a novších sa pre položku MaxPacketSize používa predvolená hodnota 0, čím sa tiež dosiahne vypnutie používania protokolu UDP pre klienta Kerberos.

Vyriešil sa problém?

 • Skontrolujte, či sa problém vyriešil. Ak sa problém vyriešil, úspešne ste dokončili postupy v tejto časti. Ak sa problém nepodarilo vyriešiť, môžete sa obrátiť na oddelenie technickej podpory.
 • Oceníme vaše pripomienky. Ak chcete poskytnúť pripomienky alebo nahlásiť ľubovoľný problém súvisiaci s týmto riešením, použite blog Fix it for me alebo nám odošlite e-mail.
Nasledujúca šablóna predstavuje šablónu pre správu, ktorú je možné importovať do politiky skupiny a nastaviť tak hodnotu MaxPacketSize pre všetky podnikové počítače so systémom Windows Server 2003, Windows XP alebo Windows 2000. Ak chcete zobraziť nastavenie MaxPacketSize v Editore objektov politiky skupiny, kliknite na možnosť Zobraziť len politiky v ponuke Zobraziť tak, aby sa možnosť Zobraziť len politiky nevybrala. Táto šablóna upravuje kľúče databázy Registry, ktoré sa nachádzajú mimo sekcie politík. Editor objektov politiky skupiny v predvolenom nastavení toto nastavenie databázy Registry nezobrazuje.
Ďalšie informácie zobrazíte kliknutím na nasledujúce číslo článku databázy Microsoft Knowledge Base:
320903 Klienti sa nemôžu prihlásiť s použitím protokolu Kerberos s protokolom TCP

Vlastnosti

ID článku: 244474 – Posledná kontrola: 11. 9. 2011 – Revízia: 1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Ultimate, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter

Pripomienky