DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 977510 - Última revisão: terça-feira, 24 de novembro de 2009 - Revisão: 1.1

 

Nesta página

Sintomas

Um cliente externo tenta fazer logon em um servidor que está executando o Windows Server 2008 em uma rede de perímetro (também conhecido como DMZ, zona desmilitarizada e sub-rede filtrada). Quando o servidor tenta autenticar o cliente externo usando um controlador de domínio somente leitura (RODC) na rede de perímetro, a autenticação falhar.

Observação: Se o servidor for permitido para autenticar o cliente externo usando um controlador de domínio interno (DC), a autenticação é bem-sucedida.

Causa

Esse problema ocorre quando o cliente externo não sabe qual site pela primeira vez que ele entre na rede de perímetro. Quando isso ocorre, o cliente externo realiza uma consulta de DNS (Domain Name System) genérico para o registro de recurso SRV _msdcs.domain.com para um controlador de domínio ao qual o cliente pode se conectar. Por padrão, os RODCs não registrar quaisquer informações de DNS genéricas. Em vez disso, os RODCs registram apenas informações específicas do DNS. Portanto, a função DsGetDCName nunca retorna um RODC na lista de controladores de domínio para o domínio.

Observação: Se não há resultados gerados a partir de consulta DNS, a função DCLocator que chamadas pela função DSGetDCName volta ao NetBIOS Nome funcionalidade de resolução (difusões e WINS). No entanto, se WINS não estiver configurado e difusões são bloqueadas, em seguida, esse mecanismo de fallback também apresenta falhas.

Se as regras de firewall que o cliente externo se conectar ao controlador de domínio de leitura/gravação pelo menos um (RWDC), o cliente externo será redirecionado para o RODC. Esse comportamento ocorre assim que o RWDC determina que o cliente externo está no site do RODC.

Observação:Quando isso ocorre ambos os computadores devem ter na rede de perímetro.

Resolução

Para resolver esse problema, você deve fazer o RODC detectável de uma consulta DNS genérica.

Observação: Você pode minimizar o efeito de segurança de registrar os registros DNS genéricos, alterando o valor LDAPSrvPriority do RODC no site de remediação para certificar-se de que outros controladores de domínio de leitura/gravação ou controladores de domínio somente leitura disponíveis estão preferenciais. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
306602  (http://support.microsoft.com/kb/306602/ ) Como otimizar a localização de um controlador de domínio ou catálogo global que resida fora do site do cliente
Para tornar o RODC localizável, especifique o valor de DWORD RegisterSiteSpecificDnsRecordsOnly no registro. Este valor DWORD determina se o RODC tentará registrar registros DNS genéricos.
Recolher esta tabelaExpandir esta tabela
Local do registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nome do valor:RegisterSiteSpecificDnsRecordsOnly
Tipo de valor:DWORD

RegisterSiteSpecificDnsRecordsOnly

Esse valor DWORD Especifica a registro específicas do site e somente os registros de alias (CName). O valor padrão para um RODC é 1 (verdadeiro). Se você definir esse valor como 0 (FALSO), o RODC tentará registrar todos os registros de DNS. Isso inclui registros específicos non-site.

Observação: Se você definir esse valor DWORD para 0, você deve conceder o RODC a permissão de gravação necessários nas zonas DNS relevantes para poder registrar todos os registros DNS.

Mais Informações

Para obter mais informações sobre como determinar o RODC locais na rede de perímetro, visite o seguinte site de Blog do Microsoft TechNet:
http://blogs.technet.com/instan/archive/2009/03/24/troubleshooting-rodc-s-troubleshooting-rodc-location-in-the-dmz.aspx (http://blogs.technet.com/instan/archive/2009/03/24/troubleshooting-rodc-s-troubleshooting-rodc-location-in-the-dmz.aspx)

A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008 R2
  • Windows Web Server 2008
Palavras-chave: 
kbmt kbtshoot kbexpertiseinter kbsurveynew kbprb KB977510 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 977510  (http://support.microsoft.com/kb/977510/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store