Zásady skupiny nemusí být použita k uživatelé patřící mnoho skupin

Překlady článku Překlady článku
ID článku: 263693 - Produkty, které se vztahují k tomuto článku.
Poznámka
Tento článek se týká systému Windows 2000. Podporu pro systém Windows 2000 končí na 13. července 2010.Windows 2000 End-of-Support Solution Center je výchozí bod pro plánování strategie přenesení ze systému Windows 2000. Další informace v tématu Microsoft Support Lifecycle Policy.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Pokud je uživatel členem skupin mnoho buď přímo nebo kvůli vnoření skupin, ověřování Kerberos nemusí fungovat. Zásady skupiny (objekt) nemusí být použita pro uživatele a uživatel pravděpodobně není ověřen použít síťové prostředky.

Příčina

Kerberos token má pevnou velikost. Pokud je uživatel členem skupiny buď přímo nebo podle členství ve skupině jiné ID zabezpečení (SID) pro danou skupinu přidán do tohoto tokenu uživatele. SID mají být přidány do tokenu uživatele musí být předávány pomocí Kerberos token. Pokud požadované informace SID přesahuje velikost tokenu, ověřování neproběhne úspěšně. Počet skupin se liší, ale limit je přibližně 70: 80 skupin.

Mnoho operací úspěšné ověřování Windows NTLM; problém ověřování Kerberos, nemusí být zřejmé bez analýzy. Však operací, které zahrnují GPO aplikace nefungují vůbec.

Řešení

Informace o aktualizaci Service Pack

Tento problém vyřešíte pomocí nejnovější aktualizace service pack pro systém Windows 2000. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
260910Jak získat nejnovější aktualizaci Service Pack pro systém Windows 2000

Informace o opravě hotfix

K dispozici je podporovaná oprava hotfix od společnosti Microsoft. Tato oprava hotfix je však určena pouze k opravě problému popsanému v tomto článku. Použijte tuto opravu hotfix pouze u systémů, kde dochází k tomuto konkrétnímu problému.

Pokud je oprava hotfix k dispozici ke stažení, v horní části tohoto článku je sekce "Hotfix stažení k dispozici". Není-li tato část uvedena, vyžádejte si tuto opravu hotfix od oddělení služeb zákazníkům a podpory společnosti Microsoft.

Poznámka: Pokud vyskytnout další problémy nebo jakékoli řešení potíží je vyžadován, pravděpodobně budete muset vytvořit zvláštní požadavek na službu. Výdaje na technickou podporu se týkají dalších otázek a problémů, které nelze vyřešit pomocí této opravy konkrétní opravy hotfix. Navštivte následující web společnosti Microsoft pro získání telefonního čísla na Zákaznické centrum, nebo pokud chcete vytvořit samostatnou žádost o podporu:
http://support.microsoft.com/contactus/?ws=support
Poznámka: Zobrazí formulář "Hotfix stažení k dispozici" jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, oprava hotfix není k dispozici pro daný jazyk.

INFORMACE O SOUBORECH

Anglická verze této opravy hotfix má následující nebo vyšší atributy souborů. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Pokud zobrazíte informace o souboru, bude převedena na místní čas. Rozdíl mezi místním ČASEM a najít, použijte kartu časové pásmo v ovládacím panelu Datum a čas.
Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
Poznámka: je nutné použít parametr registru, která je k dispozici s této opravy hotfix zvětšit velikost token Kerberos. Naleznete v části "Další informace" Další informace tohoto článku.

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt. Tento problém byl poprvé opraven v systému Windows 2000 Service Pack 2.

Další informace

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které sdělit, jak upravit registr. Po nesprávné úpravě registru však mohou nastat závažné problémy. Postupujte proto pečlivě podle uvedených kroků. Pro zvýšení bezpečnosti registr zálohujte jestě před jeho úpravami. Potom můžete v případě potíží registr obnovit. Další informace o zálohování a obnovení registru naleznete následujícím článku znalostní v databáze Microsoft Knowledge Base:
322756Zálohování a obnovení registru v systému Windows


Parametr registru je k dispozici po instalaci této opravy hotfix můžete zvětšit velikost token Kerberos. Zvětšení velikosti token na 65 KB umožňuje uživateli být přítomna v více než 900 skupin. Z důvodu přidružené informace SID toto číslo může lišit.

Použití tohoto parametru:
  1. Spusťte program Editor registru (Regedt32.exe).
  2. Vyhledejte následující klíč registru a klepněte na něj:
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. Pokud tento klíč není k dispozici, vytvořit klíč. Postup:
    1. Klepněte na následující klíč registru:
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. V nabídce Úpravy klepněte na příkaz Přidat klíč.
    3. Vytvoření klíče Parameters.
    4. Klepněte na tlačítko Nový klíč Parameters.
  4. V nabídce Úpravy klepněte na příkaz Přidat hodnotu a přidejte následující hodnotu registru:
    Název hodnoty: MaxTokenSize
    Typ dat: REG_DWORD
    Radix: Decimal
    Hodnota dat: 65535
  5. Ukončete program Editor registru.
Výchozí hodnota MaxTokenSize je 12000 desítkové. Doporučujeme nastavit hodnotu 65535 desítkovou, šestnáctkovou FFFF. Nastavte tuto hodnotu nesprávně do 65535 šestnáctkové (hodnota extrémně velký) operace ověřování Kerberos mohou selhat a programy může vrátit chyby. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
297869Problémy správce SMS po změnit hodnotu registru Kerberos MaxTokenSize
Po nastavení hodnoty a počítač aktualizován, restartujte počítač. Nastavení této hodnoty pro všechny počítače můžete použít nastavení Zásady skupiny. Pokud klíč registru přidat do počítače před použitím opravy hotfix nebo Windows 2000 SP2, projeví se žádné změny.

Další informace o této hodnoty registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
313661Chybová zpráva: "timeout vypršela" dochází při připojení k serveru SQL přes TCP/IP a je větší než 0xFFFF Kerberos MaxTokenSize
300367DCOM klienta může umístit podél paměti

Nejčastější dotazy

  • Otázka: použití této opravy hotfix z balíčku opravy hotfix nebo Windows 2000 Service Pack 2?

    Odpověď: můžete použít systém Windows 2000 SP2 nebo opravu hotfix Q263693.
  • Otázka: nutné upravit registr jako po použití této opravy hotfix uvedené v tomto článku?

    Odpověď: ve výchozím nastavení aplikace Microsoft podporuje uživatele patřící do skupiny 70-80. Pokud chcete podporovat další skupiny, bude nutné odpovídajícím způsobem upravit hodnoty v registru. Postupujte podle příkladu vodítko poskytnutých v tomto článku.
  • Otázka: kde Musím použít tuto opravu hotfix a proveďte změny registru?

    Odpověď: v každém počítači v rozlehlé síti se systémem Windows 2000 nebo Microsoft Windows XP je musí implementovat nastavení registru. To zahrnuje řadiče domén, členských serverů a klientských počítačů. Opravy hotfix je také vyžadován u počítačů se systémem Windows 2000 Service Pack 1 nebo starší.
  • Otázka: přihlášení k doméně prostřednictvím relace terminálového serveru (TS je spuštěna na členských serverech), takže kde Musím instalovat opravu?

    Odpověď: instalace Kerberos Q263693 řeší pouze na řadiči domény.
  • Dotaz: Jak tato oprava hotfix ovlivňuje výkon systému na ověřování?

    Odpověď: token velikost bude staticky definované datové struktury. 65 K je relativně nízkou penaltu o hodnotě zaplatit většina systémů. Pokud však je uživatel členem skupin ~ 1000, ověřování čas bude být větší než, pokud je menší počet skupin. Jinými slovy Pokud zvýšit velikost tokenu došlo by měl být žádné penaltu observable výkonu o hodnotě než spotřeby prostředků paměti. To platí pro operace včetně GPO inicializace. Toto je, protože skutečný Kerberos informace odeslané podél není pevnou velikost. Jeho velikost závisí na skupině/SID informace požadované.
  • Dotaz: jak vztahuje prostředků paměti v řadičích domén a pracovních stanicích?

    Odpověď: Access lístku uživatele generuje řadič domény, ale přidělení je na pracovní stanici. Tak uvidíte využití paměti nevýznamné pracovních stanic v závislosti na velikosti token, nastavte v registru.

Odkazy

Další údaje klepněte na následující číslo článku databáze Microsoft Knowledge Base:
277741Internet Explorer přihlášení nezdaří z důvodu nedostatečné vyrovnávací paměti pro Kerberos
297869Problémy správce SMS po změnit hodnotu registru Kerberos MaxTokenSize
Další informace o instalaci systému Windows 2000 a Windows 2000 Hotfix současně klepněte na následující číslo článku databáze Microsoft Knowledge Base:
249149Instalace systému Microsoft Windows 2000 a oprav pro systém Windows 2000

Vlastnosti

ID článku: 263693 - Poslední aktualizace: 22. února 2007 - Revize: 5.9
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix KB263693 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:263693

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com