UDP et Kerberos

 

Récemment je suis tombé sur un problème étrange dans un nouveau domaine Windows 2008 R2. Les ordinateurs Windows 7 joignaient et se connectaient au domaine sans problème ; les postes Windows XP, eux, joignaient le domaine sans problème cependant lors de l’ouverture de session une erreur se produisait :

Event ID 5719: No Windows NT or Windows 2000 Domain Controller is available for domain. The following error occurred: There are currently no logon servers available to service the logon request.

Après investigation il apparait que le problème se produit suite à la fragmentation des paquets UDP lors de l’authentification Kerberos. Ceci est particulièrement vrai dans les environnements utilisant des connections VPN ; les grands paquets UDP sont fragmenté, et sont droppé s’ils n’arrivent pas dans l’ordre dans lequel ils ont été envoyés.

Ce problème ne se produit pas pour les postes Windows 7, car ceux-ci utilisent le protocole TCP pour la connexion Kerberos. Afin de résoudre ce problème pour les PC Windows XP, il suffit de forcer l’utilisation du protocole TCP. Pour ceci :

Dans la clé de registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
Créer/modifier la clé : MaxPacketSize et lui donner la valeur 1, puis redémarrer le PC en question.

Et voilà, le tour est joué Winking smile

Comments

  • Anonymous
    October 01, 2011
    Merci pour l'information, es ce que cela a une relation avec le nombre de switch dont le packet UDP traversra pour arriver au DC ?