Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Trình duyệt của bạn không được hỗ trợ

Bạn cần cập nhật trình duyệt của mình để sử dụng trang web.

Cập nhật lên Internet Explorer phiên bản mới nhất.

Làm thế nào để buộc Kerberos sử dụng TCP thay vì UDP trong Windows

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:244474
TÓM TẮT
Gói xác thực của Windows Kerberos là mặc định trọn gói xác thực trong Windows Server 2003, Windows Server 2008, và trong Windows Vista. Nó coexists với những thách thức NTLM/phản ứng giao thức và được sử dụng trong trường hợp đó cả một khách hàng và một máy chủ có thể đàm phán Kerberos. Yêu cầu cho ý kiến (RFC) 1510 tiểu bang mà các khách hàng nên gửi một người sử dụng giao thức Datagram (UDP) datagram đến cổng 88 tại IP Địa chỉ của các phím Distribution Center (KDC) khi một khách hàng liên hệ KDC. KDC phải đáp ứng với một thư trả lời datagram gửi vào cổng USB và các Địa chỉ IP của người gửi. RFC cũng phát biểu rằng UDP phải giao thức đầu tiên đó cố gắng.

Chú ýRFC 4120 bây giờ obsoletes RFC 1510. RFC 4120 xác định rằng một KDC phải chấp nhận yêu cầu TCP và nên lắng nghe cho các yêu cầu trên cổng 88 (thập phân). Theo mặc định, Windows Server 2008 và Windows Vista sẽ thử TCP đầu tiên cho Kerberos vì mặc định MaxPacketSize bây giờ là 0. Bạn vẫn có thể sử dụng giá trị đăng ký MaxPacketSize để ghi đè lên rằng hành vi.

Một giới hạn về kích thước gói UDP có thể gây ra các thông báo lỗi sau lúc đăng nhập tên miền:
Nhật ký sự kiện lỗi 5719
Nguồn NETLOGON

Không có Windows NT hoặc Windows 2000 tên miền Bộ điều khiển có sẵn cho tên miền Miền. Các lỗi sau xảy ra:

Hiện đang có các máy chủ đăng nhập có sẵn để phục vụ yêu cầu đăng nhập.
Ngoài ra, Netdiag công cụ có thể hiển thị các thông báo lỗi sau đây:
Thông báo lỗi 1
DC danh sách kiểm tra........ . . . : Không thành công [WARNING] không thể gọi DsBind để COMPUTERNAMEDC.domain.com (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Thông báo lỗi 2
Thử nghiệm Kerberos........ . . . : Thất bại [FATAL] Kerberos không có một vé cho MEMBERSERVER$.]
Các bản ghi sự kiện Windows XP mà là triệu chứng của vấn đề này là SPNegotiate 40960 và Kerberos 10.
THÔNG TIN THÊM
Để có chúng tôi sửa chữa vấn đề cho bạn, hãy vào các "Khắc phục sự cố cho tôi"phần. Nếu bạn thích để khắc phục vấn đề này chính mình, đi đến những "Để tôi tự khắc phục sự cố"phần.

Khắc phục sự cố cho tôi

Để khắc phục vấn đề này tự động, bấm vào các Khắc phục sự cố nút hoặc đường dẫn. Nhấp vào Chạy trong các Tải xuống Tệp hộp thoại hộp, và làm theo các bước trong việc sửa chữa nó wizard.




Chú ý
  • Thuật sỹ này có thể chỉ có bằng tiếng Anh. Tuy nhiên, việc sửa chữa tự động cũng làm việc cho các phiên bản ngôn ngữ khác của Windows.
  • Nếu bạn không sử dụng máy tính có vấn đề, tiết kiệm các sửa chữa nó giải pháp cho một ổ đĩa flash hoặc đĩa CD và sau đó chạy nó trên máy tính có vấn đề.

Sau đó, đi đến những "Phương pháp này có khắc phục được sự cố không?"phần.



Để tôi tự khắc phục sự cố

Quan trọng Phần này, phương pháp, hoặc công việc có bước mà cho bạn biết làm thế nào để chỉnh sửa registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows


Quan trọng Nếu bạn sử dụng UDP cho Kerberos, máy tính khách hàng của bạn có thể ngừng đáp ứng (hàng) khi bạn nhận được thông báo sau:
Nạp thiết đặt cá nhân của bạn.
Theo mặc định, Kích thước tối đa của các gói tin datagram mà Windows Server 2003 sử dụng UDP là 1.465 byte. Windows XP và Windows 2000, này tối đa là 2.000 byte. Transmission Control Protocol (TCP) được sử dụng cho bất kỳ datagrampacket mà là lớn hơn này tối đa. Kích thước tối đa của các gói dữ liệu datagram mà UDP là sử dụng có thể được thay đổi bằng cách sửa đổi một khóa registry và giá trị.

Bởi mặc định, Kerberos sử dụng connectionless UDP datagram các gói dữ liệu. Tùy thuộc vào một nhiều yếu tố bao gồm cả an ninh identifier (SID) Lược sử và nhóm thành viên, một số tài khoản sẽ có lớn hơn Kerberos gói dữ liệu xác thực Kích thước. Tùy thuộc vào cấu hình phần cứng mạng riêng ảo (VPN), các gói tin lớn hơn cần phải được phân mảnh khi đi qua một VPN. Các vấn đề do phân mảnh của các gói tin UDP Kerberos lớn. Bởi vì UDP là giao thức connectionless, phân mảnh UDP các gói dữ liệu sẽ bị rớt nếu họ đến điểm đến ra khỏi trật tự.

Nếu bạn thay đổi MaxPacketSize một giá trị của 1, bạn buộc các khách hàng sử dụng TCP gửi Kerberos lưu lượng truy cập thông qua hầm VPN. Bởi vì TCP kết nối theo định hướng, nó là một đáng tin cậy hơn phương tiện vận tải trên đường hầm VPN. Ngay cả khi các gói giảm xuống, các máy chủ sẽ re-request gói dữ liệu bị thiếu.


Bạn có thể thay đổi MaxPacketSize đến 1 để lực lượng khách hàng sử dụng Kerberos giao thông qua TCP. Để thực hiện việc này, hãy làm theo những bước sau:
  1. Bắt đầu Registry Editor.
  2. Định vị, rồi bấm chuột phải vào khoá con đăng ký sau:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Chú ý Nếu Tham số phím không tồn tại, tạo ra nó bây giờ.
  3. Trên các Chỉnh sửa trình đơn, điểm đếnMới, và sau đó nhấp vào Giá trị DWORD.
  4. Loại MaxPacketSize, vaø sau ñoù baám NHẬP.
  5. Bấm đúp MaxPacketSize, loại1trong các Dữ liệu giá trị hộp, bấm vào để chọn các Thập phân tùy chọn, và sau đó bấm OK.
  6. Thoát khỏi Registry Editor.
  7. Khởi động lại máy tính của bạn.

    Đây là phương pháp giải pháp cho Microsoft Windows 2000, XP và Server 2003. Windows Vista và mới hơn sử dụng một mặc định của "0" cho MaxPacketSize mà cũng tắt sử dụng UDP cho khách hàng Kerberos.

Phương pháp này có khắc phục được sự cố không?

  • Kiểm tra xem liệu vấn đề cố định. Nếu vấn đề cố định, bạn đã kết thúc với phần này. Nếu sự cố chưa được khắc phục, bạn có thể liên hệ hỗ trợ.
  • Chúng tôi sẽ đánh giá cao thông tin phản hồi của bạn. Để cung cấp phản hồi hoặc báo cáo bất kỳ sự cố nào với giải pháp này, vui lòng để lại nhận xét trên "Khắc phục sự cố cho tôi"blog hoặc gửi cho chúng tôi một thư điện tử.
Các mẫu sau đây là một mẫu hành chính mà có thể nhập khẩu vào chính sách nhóm để cho giá trị MaxPacketSize được thiết lập cho tất cả doanh nghiệp máy tính đang chạy Windows Server 2003, Windows XP, hoặc Windows 2000. Xem thiết đặt MaxPacketSize trong nhóm chính sách đối tượng Editor, Nhấp vào Hiển thị chính sách chỉ trên các Xem trình đơn để mà Hiển thị chính sách chỉ không được chọn. Mẫu này đổi khóa registry bên ngoài phần chính sách. Theo mặc định, Trình soạn thảo đối tượng chính sách nhóm không hiển thị các thiết đặt đăng ký. Để biết thêm chi tiết, bấm vào đây số bài viết để xem bài viết trong cơ sở kiến thức Microsoft:
320903Khách hàng không thể đăng nhập bằng cách sử dụng Kerberos qua TCP

Warning: This article has been translated automatically

Thuộc tính

ID Bài viết: 244474 - Xem lại Lần cuối: 08/21/2011 10:52:00 - Bản sửa đổi: 2.0

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtvi
Phản hồi