组策略可能不会应用到属于许多组的用户

文章翻译 文章翻译
文章编号: 263693 - 查看本文应用于的产品
注意
本文适用于 Windows 2000。Windows 2000 支持的结束,到 2010 7 月 13Windows 2000 End-of-Support Solution Center 是进行规划迁移策略从 Windows 2000 的起始位置。有关详细信息,请参阅 Microsoft Support Lifecycle Policy
展开全部 | 关闭全部

本文内容

症状

如果用户是多个组的成员可以直接或由于组嵌套的 Kerberos 身份验证可能无法正常工作。组策略对象 (GPO) 可能不会应用于用户和用户可能没有验证要使用的网络资源。

原因

Kerberos 标记具有固定的大小。如果用户是一组的成员可以直接或通过另一个组中的成员身份,组安全 ID (SID) 添加到用户的令牌。对于要添加到用户的令牌的 SID 必须通过使用 Kerberos 令牌将进行通信。如果所需的 SID 信息超过了该标记的大小,身份验证不成功。组的数目各不相同,但限制是大约 70 到 80 组。

对于很多的操作 Windows NTLM 身份验证成功 ; Kerberos 身份验证问题可能不是分析不明显。 但是,包括 GPO 应用程序的操作不在所有工作。

解决方案

服务包信息

若要解决此问题,获得最新的 service pack,对于 Windows 2000。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910如何获取最新的 Windows 2000 服务软件包

修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现这一特定问题的系统。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果未出现本部分,将申请提交到 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。

文件信息

此修补程序的英文版具有文件属性 (或更高版本) 下表中列出。其格式为协调通用时间 (UTC) 列出日期和时间对这些文件。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的日期和时间工具中的 时区 选项卡。
Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
请注意您必须使用注册表参数增加 Kerberos 令牌的大小与此修补程序可用的。请参阅本文的其他信息的"更多信息"一节。

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。 Windows 2000 Service Pack 2 中,第一次已得到纠正此问题。

更多信息

重要此分区、 方法,或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重问题。因此,请确保您仔细按照这些步骤。附加的保护注册表之前先备份您对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表


应用此修补程序,您可以使用以增大 Kerberos 令牌后使用注册表参数。例如对于增加为 65 KB 令牌的大小将允许用户在 900 多个组中存在。由于关联的 SID 信息的此数目可能会有所不同。

要使用此参数,请执行以下操作:
  1. 启动注册表编辑器 (Regedt32.exe)。
  2. 找到并单击下面的项在注册表中:
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. 如果不存在此注册表项创建项。若要这样做:
    1. 单击下面的项在注册表中:
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. 编辑 菜单上单击 添加项
    3. 创建一个 参数 的密钥。
    4. 单击新的 参数 密钥。
  4. 编辑 菜单上单击 添加值,然后添加以下注册表值:
    值名称: MaxTokenSize
    数据类型: REG_DWORD
    基数: 十进制
    值数据: 65535
  5. 退出注册表编辑器。
默认值为 MaxTokenSize 是 12000 十进制。我们建议您设置此值为 65535 的十进制,FFFF 十六进制。如果您设置此值不正确到 65535 十六进制 (一个极大的值) Kerberos 身份验证操作可能会失败的程序可能会返回错误。 有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
297869SMS 管理员问题后,修改 Kerberos MaxTokenSize 注册表值
您将此值设置和计算机更新后,重新启动计算机。使用组策略设置,可以将此值设置的所有计算机。如果在应用修补程序或 Windows 2000 SP2 之前添加到计算机的注册表项没有更改生效。

此注册表值有关的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
313661"超时过期"错误消息: 当您连接到 SQL Server,通过 TCP/IP 和 Kerberos MaxTokenSize 大于 0xFFFF 时发生
300367DCOM 客户端可能会使网络上的内存

常见问题

  • 问题: 是否应用此修补程序修补程序包中或从 Windows 2000 Service Pack 2 吗?

    答案: 您可以应用任意 Q263693 修补程序或应用 Windows 2000 SP2。
  • 问题: 是否有修改注册表,本文中提到后应用此修补程序, 吗?

    回答: 按默认,Microsoft 支持属于 70-80 组用户。如果您想要支持更多的组,然后您必须进行相应的调整值在注册表中。请按照本文中提供的准则示例。
  • 问题: 位置是否必须应用此修补程序并进行注册表更改?

    答案: 您必须运行 Windows 2000 和/或 Microsoft Windows XP 的企业中的每台计算机上实现注册表设置。这包括域控制器、 成员服务器和客户端计算机。此修补程序也是运行 Windows 2000 Service Pack 1 的计算机需要或更早版本。
  • 问题: 我登录到终端服务器会话通过域 TS 运行在成员服务器上),因此,我有要安装此修复程序?

    回答: Q263693 Kerberos 修复仅在域控制器的安装。
  • 问题: 此修补程序会在如何影响系统性能上的身份验证?

    回答: 该令牌的大小将是静态定义的数据结构。65 K 为支付对于大多数系统一个相对较低的罚点。但是,如果用户是 ~ 1000年组的成员,则将身份验证时间将大于如果较小的组数。如果增加令牌的大小,也就也应该有内存资源消耗以外的其他任何明显的性能损失。这适用于包括 GPO 初始化的操作。这是因为实际线路上发送的 Kerberos 信息不是固定大小。它的大小取决于所需的组/SID 信息。
  • 问题: 如何这不会影响域控制器和 $ 工作站上的内存资源?

    回答: 的域控制器生成用户访问票证,但是此分配是在工作站上。因此,具体取决于在注册表中设置的令牌大小工作站上,您将看到无关紧要的内存使用情况。

引用

附加的信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
277741对于 Kerberos 由于没有足够的缓冲区而失败 Internet Explorer 登录
297869SMS 管理员问题后,修改 Kerberos MaxTokenSize 注册表值
有关如何一次安装 Windows 2000 和 Windows 2000 修补程序的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
249149安装 Microsoft Windows 2000 和 Windows 2000 修补程序

属性

文章编号: 263693 - 最后修改: 2007年2月22日 - 修订: 5.9
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
关键字:?
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix KB263693 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 263693
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com