อาจไม่มีการนำไปใช้กับผู้ใช้ที่เป็นของกลุ่มจำนวนนโยบายกลุ่ม

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 263693 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
หมายเหตุ
บทความนี้สามารถใช้ได้กับ Windows 2000การสนับสนุนสำหรับสิ้นสุดของ Windows 2000 ในเดือน 13 กรกฎาคม 2010กระบวนการศูนย์โซลูชัน windows 2000 สิ้นสุดของบริการเป็นจุดเริ่มต้นสำหรับการวางแผนเชิงกลยุทธ์การย้ายข้อมูลระบบของคุณจาก Windows 2000 สำหรับข้อมูลเพิ่มเติมให้ดูนโยบาย Lifecycle ฝ่ายสนับสนุนของ Microsoft.
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

อาการ

ถ้าผู้ใช้ที่เป็นสมาชิกของกลุ่มจำนวนอย่างใดอย่างหนึ่งโดยตรง หรือเนื่องจาก การซ้อนกันกลุ่ม การรับรองความถูกต้องของ Kerberos อาจไม่ทำงาน อาจไม่มีการนำไปใช้กับผู้ใช้ Group Policy object (GPO) และอาจไม่มีการตรวจสอบผู้ใช้ในการใช้ทรัพยากรของเครือข่าย

สาเหตุ

โทเค็นของ Kerberos มีขนาดถาวร ถ้าผู้ใช้ที่เป็นสมาชิกของกลุ่มอย่างใดอย่างหนึ่งโดยตรง หรือ โดยการเป็นสมาชิกในกลุ่มอื่น ความปลอดภัยรหัส (SID) สำหรับกลุ่มนั้นถูกเพิ่มให้ ผู้ใช้ของโทเค็น สำหรับ SID ที่ถูกเพิ่มเข้าในโทเค็นของผู้ใช้ นั้นต้องสามารถติดต่อ โดยใช้โทเค็นการ Kerberos ถ้าข้อมูล SID ที่ต้องเกินขนาดของโทเค็นการ รับรองความถูกต้องไม่สำเร็จ หมายเลขของกลุ่มที่แตกต่างกันไป แต่จำกัดคือ ประมาณ 80 70 กับกลุ่ม

สำหรับหลาย ๆ การดำเนินงาน การรับรองความถูกต้องของ Windows NTLM สำเร็จ ปัญหาการรับรองความถูกต้อง Kerberos ไม่อาจ evident โดยไม่ต้องการวิเคราะห์ อย่างไรก็ตาม ดำเนินรวมแอพลิเคชัน GPO ไม่ทำงานทั้งหมด

การแก้ไข

ข้อมูล Service Pack

เมื่อต้องการแก้ไขปัญหานี้ ขอรับ service pack ล่าสุดสำหรับ Windows 2000 สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
260910วิธีการขอรับ Service Pack ล่าสุดของ Windows 2000

ข้อมูลโปรแกรมแก้ไขด่วน

โปรแกรมแก้ไขด่วนที่ได้รับการสนับสนุนจาก Microsoft พร้อมใช้งานแล้ว อย่างไรก็ตาม โปรแกรมแก้ไขด่วนนี้มีเป้าหมายเพื่อการแก้ไขปัญหาที่อธิบายไว้ในบทความนี้เท่านั้น นำโปรแกรมแก้ไขด่วนนี้ไปใช้กับระบบที่พบปัญหานี้เท่านั้น

หากมีโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด คุณจะเห็นส่วน "โปรแกรมแก้ไขด่วนพร้อมดาวน์โหลด" อยู่ที่ด้านบนของบทความฐานความรู้นี้ หากส่วนนี้ไม่ปรากฏขึ้น ให้ส่งการร้องขอไปที่ฝ่ายบริการสนับสนุนลูกค้าของ Microsoft เพื่อขอรับโปรแกรมแก้ไขด่วน

หมายเหตุ:หากเกิดปัญหาอื่น ๆ หรือ ถ้ามีการแก้ไขปัญหาเป็นสิ่งจำเป็น คุณอาจต้องสร้างการร้องขอบริการแยกต่างหาก ค่าใช้จ่ายในการสนับสนุนปกติจะเกิดขึ้นเมื่อมีคำถามและประเด็นการสนับสนุนอื่นๆ ซึ่งไม่จัดอยู่ในโปรแกรมแก้ไขด่วนเฉพาะที่กล่าวถึงนี้ สำหรับรายการของหมายเลขโทรศัพท์ของฝ่ายบริการและการสนับสนุนลูกค้าของ Microsoft ทั้งหมด หรือถ้าต้องการสร้างคำขอรับการสนับสนุนแยกต่างหาก โปรดเข้าสู่เว็บไซต์ของ Microsoft ต่อไปนี้::
http://support.microsoft.com/contactus/?ws=support
หมายเหตุ:แบบฟอร์ม "โปรแกรมแก้ไขด่วนพร้อมดาวน์โหลด" แสดงภาษาในโปรแกรมแก้ไขด่วนมีอยู่ หากคุณไม่เห็นภาษาของคุณ เป็นเพราะไม่มีโปรแกรมแก้ไขด่วนสำหรับภาษานั้น

ข้อมูลแฟ้ม

โปรแกรมแก้ไขด่วนรุ่นภาษาอังกฤษนี้มีแอตทริบิวต์ของแฟ้ม (หรือแอตทริบิวต์ของแฟ้มหลังจากนั้น) ซึ่งแสดงอยู่ในตารางต่อไปนี้ วันที่และเวลาของแฟ้มเหล่านี้จะปรากฏในรูปแบบเวลามาตรฐานสากล (UTC) เมื่อคุณดูข้อมูลแฟ้ม ข้อมูลจะถูกแปลงเป็นเวลาท้องถิ่น เมื่อต้องการค้นหาความแตกต่างระหว่างเวลา UTC กับเวลาท้องถิ่น ใช้โซนเวลาแท็บในเครื่องมือ'วันและเวลา'ใน'แผงควบคุม'
Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
โปรดสังเกตว่า คุณต้องใช้พารามิเตอร์ของรีจิสทรีที่ มีโปรแกรมแก้ไขด่วนนี้พร้อมใช้งานการเพิ่มขนาดของโทเค็น Kerberos ดูส่วน "ข้อมูลเพิ่มเติม" ของบทความนี้สำหรับข้อมูลเพิ่มเติม

สถานะ

Microsoft ยืนยันว่าปัญหานี้เป็นปัญหาที่เกิดขึ้นกับผลิตภัณฑ์ของ Microsoft ซึ่งมีการระบุไว้ในส่วน "การใช้งาน" ก่อนมีแก้ไขปัญหานี้ใน Windows 2000 Service Pack 2

ข้อมูลเพิ่มเติม

สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows


พารามิเตอร์ของรีจิสทรีมีพร้อมใช้งานหลังจากที่คุณใช้โปรแกรมแก้ไขด่วนนี้ที่คุณสามารถใช้เพื่อเพิ่มขนาดของโทเค็น Kerberos ตัวอย่างเช่น การเพิ่มขนาดโทเค็นการกิโลไบต์ที่ 65 ช่วยให้ผู้ใช้ที่มีอยู่ในกลุ่มที่มากกว่า 900 เนื่องจากความ SID ข้อมูลที่เกี่ยวข้อง หมายเลขนี้อาจแตกต่างกัน

เมื่อต้องการใช้พารามิเตอร์นี้:
  1. เริ่มการทำงานของโปรแกรม Registry Editor (Regedt32.exe)
  2. ค้นหา และคลิกที่คีย์ต่อไปนี้ในรีจิสทรี:
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. ถ้าคีย์นี้ไม่มี สร้างคีย์ โดย::
    1. คลิกที่คีย์ต่อไปนี้ในรีจิสทรี:
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. ในการแก้ไขเมนู คลิกเพิ่มคีย์.
    3. สร้างคำพารามิเตอร์คีย์:
    4. คลิกใหม่พารามิเตอร์คีย์:
  4. ในการแก้ไขเมนู คลิกเพิ่มค่าแล้ว เพิ่มค่ารีจิสทรีต่อไปนี้:
    ชื่อค่า::MaxTokenSize
    ชนิดข้อมูล::Reg_DWORD:
    ระบบเลข::ฐานสิบ
    ข้อมูลค่า::65535
  5. ออกจากโปรแกรม Registry Editor
ค่าเริ่มต้นสำหรับMaxTokenSizeคือ 12000 ทศนิยม เราขอแนะนำว่า คุณได้กำหนดค่านี้เป็น hexadecimal FFFF ทศนิยม 65535 ถ้าคุณตั้งค่านี้ไม่ถูกต้อง กับ 65535 เลขฐานสิบหก (มีขนาดใหญ่มากค่า) การดำเนินการรับรองความถูกต้อง Kerberos อาจล้มเหลว และโปรแกรมที่อาจส่งคืนข้อผิดพลาดสำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
297869ปัญหาเกี่ยวกับการดูแล sms หลังจากที่คุณปรับเปลี่ยนค่ารีจิสทรี MaxTokenSize Kerberos
หลังจากที่คุณตั้งค่า และคอมพิวเตอร์ที่มีการปรับปรุง รีสตาร์ทคอมพิวเตอร์ คุณสามารถใช้การตั้งค่า Group Policy เพื่อตั้งค่านี้สำหรับคอมพิวเตอร์ทุกเครื่อง ถ้าคุณเพิ่มคีย์รีจิสทรีไปยังคอมพิวเตอร์ก่อนที่คุณใช้โปรแกรมแก้ไขด่วนหรือ Windows 2000 SP2 ไม่มีการเปลี่ยนแปลงมีผล

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับค่ารีจิสทรีนี้ ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
313661ข้อความแสดงข้อผิดพลาด: การหมดเวลาหมด""เกิดขึ้นเมื่อคุณเชื่อมต่อกับ SQL Server ผ่าน TCP/IP และ MaxTokenSize Kerberos มีค่ามากกว่า 0xFFFF
300367ไคลเอ็นต์ dcom อาจเก็บหน่วยความจำในสายการ

คำถามที่ถามบ่อย

  • คำถาม: ฉันไม่ใช้ จากแพคเกจโปรแกรมแก้ไขด่วน หรือ จาก Windows 2000 Service Pack 2 โปรแกรมแก้ไขด่วนนี้หรือไม่

    คำตอบ: คุณสามารถใช้การแก้ไขด่วน Q263693 หรือใช้ Windows 2000 SP2
  • คำถาม: ไม่มีการปรับเปลี่ยนรีจิสทรีตามที่กล่าวถึงในบทความนี้หลังจากที่ฉันใช้โปรแกรมแก้ไขด่วนนี้หรือไม่

    คำตอบ: โดยค่าเริ่มต้น Microsoft สนับสนุนผู้ใช้ที่เป็นของกลุ่ม 70-80 ถ้าคุณต้องการสนับสนุนกลุ่มเพิ่มเติม จากนั้นคุณต้องการปรับปรุงค่าในรีจิสทรีตามลำดับ ทำตามตัวอย่าง guideline ที่ให้ไว้ในบทความนี้
  • คำถาม: ที่ฉันต้องใช้โปรแกรมแก้ไขด่วนนี้ และทำการเปลี่ยนแปลงรีจิสทรีหรือไม่

    คำตอบ: คุณต้องใช้การตั้งค่ารีจิสทรีในคอมพิวเตอร์ทุกเครื่องในองค์กรที่ใช้ Windows 2000 และ/หรือ Microsoft Windows XP ซึ่งรวมถึงตัวควบคุมโดเมน เซิร์ฟเวอร์สมาชิก และคอมพิวเตอร์ไคลเอนต์ โปรแกรมแก้ไขด่วนจะยังจำเป็นสำหรับคอมพิวเตอร์ที่รัน Windows 2000 Service Pack 1 หรือรุ่นก่อนหน้า
  • คำถาม: ฉันเข้าสู่ระบบโดเมนผ่านเซสชันของเซิร์ฟเวอร์เทอร์มินัล (TS กำลังทำงานบนเซิร์ฟเวอร์สมาชิก), ดังนั้น ที่ฉันต้องการติดตั้งการแก้ไขหรือไม่

    คำตอบ: การติดตั้ง Q263693 Kerberos แก้ไขตัวควบคุมโดเมนเท่านั้น
  • คำถาม: ส่งผลโปรแกรมแก้ไขด่วนนี้ต่อไรประสิทธิภาพของระบบในการรับรองความถูกต้อง

    Answer: ขนาดการโทเค็นจะเป็นโครงสร้างข้อมูลที่กำหนด statically 65 K คือนักที่ค่อนข้างต่ำการชำระค่าจ้างสำหรับระบบส่วนใหญ่ อย่างไรก็ตาม ถ้าผู้ใช้ที่เป็นสมาชิกของกลุ่ม ~ 1000 เวลาการรับรองความถูกต้องจะใหญ่กว่าถ้าหมายเลขของกลุ่มมีขนาดเล็ก ในอย่างอื่น ถ้ามีเพิ่มขนาดโทเค็น ไม่ควรมีนัก observable ประสิทธิภาพการทำงานอื่นที่ไม่ใช่ปริมาณการใช้ทรัพยากรหน่วยความจำ ซึ่งใช้กับการดำเนินงานรวมทั้งการเตรียมใช้งานวัตถุนโยบายกลุ่ม นี่คือการได้เนื่องจากข้อมูล Kerberos จริงที่ส่งบนสายไม่ได้ของขนาดที่คง ขนาดขึ้นอยู่กับรายละเอียด กลุ่ม/SID ที่จำเป็น
  • คำถาม: ส่งผลนี้ต่อไรทรัพยากรหน่วยความจำที่อยู่บนตัวควบคุมโดเมนและเวิร์กสเตชัน

    คำตอบ: ตัวควบคุมโดเมนสร้างบัตรการเข้าถึงของผู้ใช้ แต่การปันส่วนที่อยู่บนเวิร์กสเตชัน ดังนั้น คุณจะเห็นการใช้งานหน่วยความจำ insignificant บนเวิร์กสเตชันทั้งนี้ขึ้นอยู่กับขนาดโทเค็นที่คุณตั้งค่าในรีจิสทรี

อ้างอิง:

สำหรับ informations เพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
277741เข้าสู่ระบบของ Internet Explorer ล้มเหลวเนื่องจากการบัฟเฟอร์ที่เพียงพอสำหรับ Kerberos
297869ปัญหาเกี่ยวกับการดูแล sms หลังจากที่คุณปรับเปลี่ยนค่ารีจิสทรี MaxTokenSize Kerberos
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการติดตั้ง Windows 2000 และ Windows 2000 ฮอตฟิกซ์ในเวลาเดียวกัน คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
249149การติดตั้ง Microsoft Windows 2000 และ Hotfix ของ Windows 2000

คุณสมบัติ

หมายเลขบทความ (Article ID): 263693 - รีวิวครั้งสุดท้าย: 8 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Keywords: 
kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix kbmt KB263693 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:263693

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com