Pek çok gruba ait olan kullanıcılar için Grup ilkesi uygulanmayabilir

Makale çevirileri Makale çevirileri
Makale numarası: 263693 - Bu makalenin geçerli olduğu ürünleri görün.
Duyuru
Bu makalede, Windows 2000 için geçerlidir. 13 Temmuz 2010 üzerinde Windows 2000 Destek sonlandırıyor.Windows 2000 End-of-Support Solution Center, Windows 2000'den geçiş stratejisini planlama bir başlangıç noktasıdır. Daha fazla bilgi için Microsoft Support Lifecycle Policy "konusuna bakın.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Kerberos kimlik doğrulaması, kullanıcı bir Grup ya da doğrudan üyesiyse veya grubu iç içe geçirilmesi nedeniyle çalışmayabilir. Grup ilkesi nesnesi (GPO) için kullanıcı uygulanmayabilir ve kullanıcı ağ kaynaklarını kullanmayı doğrulanması değil.

Neden

Kerberos token için sabit bir boyuta sahiptir. Bir kullanıcı grubu üyesi ya da doğrudan veya başka bir grup üyeliği ile bu grup için güvenlik KIMLIĞI (SID) eklenir, kullanıcı, belirteç olur. Kullanıcının belirtecine eklenecek bir SID için Kerberos token'ı kullanarak iletildiğini gerekir. Gereken SID bilgileri belirtecin boyutunu aşarsa, kimlik doğrulama başarılı olmaz. Grup sayısı da değişir, ancak yaklaşık 70-80 grupları sınırıdır.

Birçok operasyonlar için Windows NTLM kimlik doğrulaması başarılı; Kerberos kimlik doğrulaması sorun çözümlemesi açık olabilir. Ancak, GPO uygulama içeren operasyonları hiç çalışmazlar.

Çözüm

Hizmet paketi bilgileri

Bu sorunu gidermek için, en son Windows 2000 hizmet paketini edinin. Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
260910En son Windows 2000 hizmet paketi nasıl elde edilir

Düzeltme bilgileri

Desteklenen bir düzeltme Microsoft'tan edinilebilir. Ancak bu düzeltmenin, yalnızca bu makalede anlatılan sorunu gidermesi amaçlanmıştır. Bu düzeltmeyi yalnızca bu sorunla karşılaşan sistemlere uygulayın.

Düzeltme karşıdan yüklenebilir ise bu Bilgi Bankası makalesinin başında "Düzeltme karşıdan yüklenebilir" bölümü bulunur. Bu bölüm görünmüyorsa, düzeltmeyi edinmek üzere Microsoft Müşteri Hizmetleri ve Destek ekibine bir istekte bulunun.

Not Ek sorunlar oluşursa veya tüm sorun giderme işlemi gerekmiyorsa, ayrı bir hizmet isteği oluşturmanız gerekebilir. Ek destek sorularına ve bu düzeltme için geçerli olmayan sorunlara normal destek ücretleri uygulanır. Microsoft Müşteri Hizmetleri ve Destek telefon numaralarının tam listesi veya ayrı bir hizmet isteği oluşturmak için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://support.microsoft.com/contactus/?ws=support
Not "Düzeltme karşıdan yüklenebilir" formunda, düzeltmenin kullanılabilir olduğu diller görüntülenir. Kendi dilinizi görmüyorsanız, bunun nedeni bu düzeltme, seçtiğiniz dil için kullanılamaz.

DOSYA BİLGİLERİ

Bu düzeltmenin ingilizce sürümü dosya öznitelikleri (veya daha yenisi) aşağıdaki tabloda listelenir. Bu dosyaların tarihleri ve saatleri Koordinatlı Evrensel Saat'e (UTC) göre listelenir. Dosya bilgilerini görüntülediğinizde yerel saate dönüştürülür. UTC ve yerel saat arasındaki farkı bulmak için <a0></a0>, Denetim Masası'ndaki Tarih ve Saat aracında saat dilimi sekmesini kullanın.
Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
Kerberos token boyutunu artırmak için bu düzeltmeyi içeren kullanılabilir bir kayıt defteri parametresini kullanmanız gerektiğini unutmayın. Ek bilgi için bu makalenin "Daha fazla bilgi" bölümüne bakın.

Durum

Microsoft, "Geçerli Olduğu Ürünler" bölümünde listelenen Microsoft ürünlerinde bu sorunun olduğunu onaylamıştır. Bu sorun ilk olarak Windows 2000 Service Pack 2'de giderilmiştir.

Daha fazla bilgi

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl söyleyin adımları içerir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756Windows'da kayıt defterini yedekleme ve geri yükleme


Kerberos token boyutunu artırmak için kullanabileceğiniz bu düzeltmeyi uyguladıktan sonra BIR kayıt defteri parametresi kullanılabilir. Örneğin, 65 KB simge boyutunu artırma 900'den fazla gruplarında bulunması kullanıcının izin verir. Ilişkili SID bilgileri nedeniyle, bu sayı değişebilir.

Bu parametreyi kullanmak için <a0></a0>:
  1. Kayıt Defteri Düzenleyicisi'ni (Regedt32.exe) başlatın.
  2. Kayıt defterinde, aşağıdaki anahtarı bulun ve tıklatın:
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. Bu anahtar yoksa, anahtarı oluşturun. Bunu yapmak için:
    1. Aşağıdaki kayıt defteri anahtarını tıklatın:
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. Düzen menüsünde, Anahtar Ekle'yi tıklatın.
    3. Bir Parameters anahtarı oluşturun.
    4. Yeni Parametreler anahtarı'nı tıklatın.
  4. Düzen menüsünde, Değer Ekle'yi tıklatın ve sonra da aşağıdaki kayıt defteri değerini ekleyin:
    Değer adı: MaxTokenSize
    Veri türü: REG_DWORD
    Sayı tabanı: ondalık
    Veri değeri: 65535
  5. Kayıt Defteri Düzenleyicisi'nden çıkın.
12000 Ondalık MaxTokenSize için varsayılan değerdir. Bu değer, ondalık olarak 65535 FFFF onaltılık ayarlamanızı öneririz. Bu değer hatalı olarak ayarlarsanız, 65535 onaltılı (çok büyük bir değer), Kerberos kimlik doğrulama işlemleri başarısız olabilir ve program hata döndürebilir. Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
297869Kerberos MaxTokenSize kayıt defteri değerini değiştirdikten sonra SMS yönetici sorunları
Değerini ayarlamak ve bilgisayar güncelleştirilmiş sonra bilgisayarı yeniden başlatın. Grup ilkesi ayarları, tüm bilgisayarlar için bu değeri ayarlamak için kullanabilirsiniz. Kayıt defteri anahtarının düzeltmeyi veya Windows 2000 SP2'i uygulamadan önce bilgisayara eklerseniz, değişiklik etkili olur.

Bu kayıt defteri değeri hakkında ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
313661TCP/IP üzerinden SQL Server'a bağlanın ve Kerberos MaxTokenSize 0xFFFF büyük olduğunda hata iletisi: "zaman aşımı doldu" oluşuyor
300367DCOM istemci ağ bellek yerleştirme

Sık Sorulan Sorular

  • Soru: Ben bu düzeltme Windows 2000 Service Pack 2 veya düzeltme paketi uygulama?

    Yanıt:, Q263693 düzeltme uygulandıktan veya Windows 2000 SP2 uygulanır.
  • Soru: TıKLATTıĞıMDA, bu düzeltmeyi uyguladıktan sonra bu makaledeki belirtildiği gibi kayıt defterini var MIYIM?

    Yanıt: varsayılan olarak, 70 ve 80 gruplarına ait kullanıcı Microsoft destekler. Daha fazla gruplarını desteklemek, kayıt defterindeki değeri ona göre ayarlamanız gerekir. Bu makalede sağlanan <a1>Kılavuz</a1> örneği izleyin.
  • Soru: Burada bu düzeltmeyi uyguladıktan ve kayıt defteri değişiklikleri zorundayım?

    Yanıt: kuruluştaki Microsoft Windows XP ve/veya Windows 2000 çalıştıran her bilgisayarda kayıt defteri ayarını uygulamalıdır. Bu, etki alanı denetleyicilerinin, üye sunucuları ve istemci bilgisayarları da içerir. Düzeltme, Windows 2000 Service Pack 1 çalıştıran bilgisayarlar için gerekli veya önceki da kullanılmaktadır.
  • Soru: Terminal sunucusu oturumu üzerinden etki alanına oturum AÇTıĞıMDA (TH çalıştıran üye sunucularda), bu nedenle burada düzeltmeyi yüklemek zorundayım?

    Yanıt: yükleme, yalnızca etki alanı denetleyicilerinde Q263693 Kerberos giderir.
  • Soru: Bu düzeltme kimlik doğrulama sistem performansını nasıl etkiler?

    Yanıt: token boyutu, statik olarak tanımlanmış bir veri yapısı olacaktır. 65 K sistemlerin çoğu için ödeme göreceli olarak düşük bir ceza var. Ancak, kullanıcı ~ 1000 grubunun bir üyesi ise, kimlik doğrulama zaman gruplarının sayısını küçükse, daha büyük olacaktır. Diğer bir deyişle, simge boyutu arttırılırsa olmalıdır bellek kaynak tüketimi dışındaki hiçbir observable performans ceza. Bu GPO başlatma da dahil olmak üzere operasyonlar için de geçerlidir. Bu durum ağ üzerinde gönderilen gerçek Kerberos bilgileri boyutu sabit değildir çünkü. Boyutuna gereken grup/SıD bilgileri bağlıdır.
  • Soru: Bu etki alanı denetleyicileri ve iş istasyonları üzerindeki bellek kaynağı nasıl etkiler?

    Yanıt: etki alanı denetleyicisi, kullanıcı erişim bilet oluşturur, ancak bu iş istasyonunda tahsisat olur. Bu nedenle kayıt defterinde belirlediğiniz <a1>token</a1> boyutuna bağlı istasyonlarındaki anlamsız bellek kullanım görürsünüz.

Başvurular

Ek bilgiler için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
277741Internet Explorer oturum açma için Kerberos yetersiz bir arabellek nedeniyle başarısız.
297869Kerberos MaxTokenSize kayıt defteri değerini değiştirdikten sonra SMS yönetici sorunları
Windows 2000'i ve Windows 2000 düzeltmelerini aynı anda yükleme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
249149Microsoft Windows 2000 ve Windows 2000 Düzeltmelerini Yükleme

Özellikler

Makale numarası: 263693 - Last Review: 22 Şubat 2007 Perşembe - Gözden geçirme: 5.9
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Anahtar Kelimeler: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix KB263693 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:263693

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com