DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 244474 - Geändert am: Dienstag, 14. Dezember 2010 - Version: 1.0

 

Zusammenfassung

Das Windows-Kerberos-Authentifizierungspaket ist das Standard-Authentifizierungspaket in Windows Server 2003, Windows Server 2008 und Windows Vista. Mit NTLM Herausforderung/Rückmeldung-Authentifizierungsprotokoll koexistiert, und wird in Fällen, in denen ein Client und ein Server Kerberos aushandeln können. Anforderung für Comments (RFC) 1510 Zustände, dass der Client ein Datagramm UDP (User Datagram Protocol) an Port 88 an die IP-Adresse senden soll die Adresse von der Schlüsselverteilungscenter (KDC) Wenn ein Client das Schlüsselverteilungscenter kontaktiert. Das Schlüsselverteilungscenter antwortet mit einem Antwortdatagramm an den Sendeanschluss der IP-Adresse des Absenders. Die RFC zeigt auch, dass UDP das erste Protokoll sein muss, das versucht wird.

Tabelle minimierenTabelle vergrößern
Hinweis:RFC-4120 obsoletes nun RFC 1510. RFC-4120 angegeben, dass ein KDC muss TCP-Anforderungen annehmen für solche Anfragen an Port 88 (dezimal) überwachen soll. In der Standardeinstellung Windows Server 2008 und Windows Vista versucht TCP zunächst für Kerberos da nun die MaxPacketSize-Standard ist 0. Den Registrierungswert "MaxPacketSize" können immer noch um dieses Verhalten außer Kraft zu setzen.

Eine Beschränkung der UDP-Paketgröße kann dazu führen, dass die folgende Fehlermeldung bei der Domänenanmeldung:
Ereignisprotokoll-Fehler 5719
Quelle NETLOGON

Es ist kein Windows NT- oder Windows 2000-Domänencontroller für Domäne verfügbarDomäne. Folgender Fehler ist aufgetreten:

Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar.
Darüber hinaus die Netdiag Tool werden möglicherweise die folgenden Fehlermeldungen angezeigt:
Fehlermeldung 1
DC Liste........ test . . . : Fehlgeschlagene [Warnung] kann nicht zum COMPUTERNAMEDC.domain.com DsBind aufrufen (159.140.176.32). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Fehlermeldung 2
Kerberos-Test........ . . . : Fehler bei [FATAL] Kerberos verfügt nicht über ein Ticket für MEMBERSERVER $.]
Die Windows XP-Ereignisprotokolle die Symptome dieses Problems sind sind SPNegotiate 40960 und Kerberos-10.

Weitere Informationen

Wir das Problem für Sie korrigieren soll, gehen Sie zu den "Für mich zu beheben"Abschnitt. Wenn Sie es vorziehen, das Problem selbst zu beheben, gehen Sie zu den "Lassen Sie mich selbst korrigieren"Abschnitt.

Für mich zu beheben

Um das Problem automatisch zu beheben, klicken Sie auf derSollten Sie es behebenSchaltfläche bzw. Verknüpfung. Klicken Sie aufAusführenKlicken Sie im FeldDatei downloadenDialogfeld ein, und folgen Sie den Anweisungen des Updates dieser Assistenten.


Beheben Sie dieses problem
Microsoft Fix it 50563


Hinweise
  • Dieser Assistent kann nur auf Englisch verfügbar sein. Die AutoKorrektur funktioniert jedoch auch für andere Sprachversionen von Windows.
  • Wenn Sie nicht am Computer verwenden, das Problem auftritt, speichern Sie das Update diese Lösung auf ein Flashlaufwerk oder einer CD, und führen Sie es auf dem Computer, auf dem das Problem ist.

Fahren Sie anschließend mit der "Ist das Problem damit behoben?"Abschnitt.



Lassen Sie mich selbst korrigieren

WichtigIn diesem Abschnitt, eine Methode oder eine Aufgabe enthält Hinweise zum Ändern der Registrierung. Jedoch können schwerwiegende Probleme auftreten, wenn Sie die Registrierung nicht ordnungsgemäß ändern. Stellen Sie daher sicher, dass Sie genau diese Schritte durchführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie diese bearbeiten. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung klicken Sie auf die folgende KB-Artikelnummer:
322756  (http://support.microsoft.com/kb/322756/ ) Zum Sichern und Wiederherstellen der Registrierung in Windows


WichtigWenn Sie UDP für Kerberos verwenden, reagiert Ihr Clientcomputer möglicherweise nicht mehr (hängt), wenn folgende Meldung angezeigt wird:
Benutzereinstellungen werden geladen.
Standardmäßig beträgt die maximale Größe der Datenpakete, die für die Windows Server 2003 UDP verwendet 1.465 Byte. Windows XP und Windows 2000 ist diese bis zu 2.000 Bytes. TCP (Transmission Control Protocol) wird für alle Datagrampacket verwendet, die größer als diesem maximum. Die maximale Größe der Datenpakete, die für die UDP verwendet wird kann geändert werden, indem Sie einen Registrierungsschlüssel und einen Wert ändern.

In der Standardeinstellung verwendet Kerberos, verbindungslose UDP-Datagramm-Pakete. Abhängig von verschiedenen Faktoren ab, einschließlich-ID (SID) Verlaufs- und Gruppe Mitgliedschaften haben einige Konten Paketgrößen für größere Kerberos-Authentifizierung. Abhängig von der Hardwarekonfiguration virtuelles privates Netzwerk (VPN) müssen diese größere Pakete fragmentiert werden, wenn Sie über ein VPN zu wechseln. Das Problem wird durch die Fragmentierung dieser großen UDP-Kerberos-Pakete verursacht. Da UDP ein verbindungsloses Protokoll ist, werden fragmentierte UDP-Pakete gelöscht, wenn Sie am Ziel außerhalb der Reihenfolge ankommen.

Wenn Sie auf einen Wert von 1 MaxPacketSize ändern, Sie erzwingen, dass den Client TCP verwenden zum Senden von Kerberos-Datenverkehr durch den VPN-Tunnel. Da TCP verbindungsorientiert ist, ist es wesentlich zuverlässigere Transportmittel über den VPN-Tunnel. Auch wenn die Pakete verworfen werden, wird der Server das fehlende Datenpaket re-request.


Sie können "MaxPacketSize" in 1 zu erzwingen, dass die Clients für die Verwendung von Kerberos-Datenverkehr über TCP ändern. Gehen Sie hierzu folgendermaßen vor:
  1. Starten Sie den Registrierungseditor.
  2. Klicken Sie auf folgenden Unterschlüssel in der Registrierung:
    Kerberos\Parameters HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\
    Hinweis:Wenn dieParameterSchlüssel nicht vorhanden sind, erstellen Sie ihn.
  3. im MenüBearbeitenaufNeue, und klicken Sie dann aufDWORD-Wert.
  4. Typ"MaxPacketSize", und drücken Sie dann die EINGABETASTE.
  5. Doppelklicken Sie auf"MaxPacketSize"Typ1Klicken Sie im FeldWertdatenFeld, aktivieren Sie dieDezimalzahlOption, und klicken Sie dann auf OK.
  6. Beenden Sie den Registrierungseditor.
  7. Starten Sie den Computer neu.

    Dies ist der Ansatz Lösung für Microsoft Windows 2000, XP und Server 2003. Windows Vista und neueren Verwendung Standard ist "0" für "MaxPacketSize", die die Verwendung von UDP für den Kerberos-Client ebenfalls deaktiviert.

Ist das Problem damit behoben?

  • Überprüfen Sie, ob das Problem behoben ist. Wenn das Problem behoben ist, können Sie mit diesem Abschnitt Fertig. Wenn das Problem nicht behoben wird, können SieWenden Sie sich an Unterstützung (http://support.microsoft.com/contactus) .
  • Wir würden freuen uns über Ihr Feedback. Feedback geben möchten oder melden Probleme mit dieser Lösung, lassen Sie einen Kommentar für die "Für mich zu beheben (http://blogs.technet.com/fixit4me/) "Blog oder senden Sie uns einee-Mail (mailto:fixit4me@microsoft.com?Subject=KB) .
Folgende Vorlage ist eine administrative Vorlage, die importiert werden kann, in die Gruppenrichtlinien, damit der Wert "MaxPacketSize" für alle Computer der Organisation festgelegt werden, auf denen Windows Server 2003, Windows XP oder Windows 2000 ausgeführt werden. Um die MaxPacketSize-Einstellungen im Gruppenrichtlinienobjekt-Editor anzuzeigen, klicken Sie aufNur Richtlinien anzeigenim MenüAnsichtMenü,Nur Richtlinien anzeigenist nicht aktiviert. Diese Vorlage verändert Registrierungsschlüssel außerhalb des Richtlinienabschnitts. In der Standardeinstellung wird der Gruppenrichtlinienobjekt-Editor nicht diese Registrierungseinstellungen angezeigt.Klicken Sie für Weitere Informationen auf die folgende KB-Artikelnummer:
320903  (http://support.microsoft.com/kb/320903/ ) Client-Anmeldung mit Kerberos über TCP nicht möglich

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Keywords: 
kbenv kbinfo kbfixme kbmsifixme kbmt KB244474 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 244474  (http://support.microsoft.com/kb/244474/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store