Internet Explorer-Anmeldung schlägt wegen eines unzureichenden Puffers für Kerberos

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 277741 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D277741
Wichtig Dieser Artikel enthält Informationen zum Ändern der Registrierung. Stellen Sie sicher, dass die Registrierung sichern, bevor Sie es ändern. Stellen Sie sicher, dass Sie wissen, wie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern, wiederherstellen und Bearbeiten der Registrierung finden Sie die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
256986 Beschreibung der Microsoft Windows-Registrierung
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Während des Aufbaus einer Verbindung zu einer Internet-Informationen Server (IIS)-Server für Windows 2000-Authentifizierung konfiguriert ist, der Benutzer Das Dialogfeld Netzwerkkennwort eingeben angezeigt. Der Benutzer versucht, sich anzumelden. Die Anmeldeinformationen sind angefordert und angegeben, und dann die folgenden Fehlerseite angezeigt werden, sogar Wenn die Anmeldeinformationen gültig sind:
Sie sind nicht berechtigt zum Anzeigen dieser Seite. Sie haben keine Berechtigung, dieses Verzeichnis bzw. diese Seite anzeigen Mithilfe der Anmeldeinformationen, die Sie angegeben.

Ursache

Die Anmeldeinformationen sind ungültig und können verwendet werden, zum Zugriff auf die demselben System über den Windows NT Server-Dienst mithilfe des Befehls net Use . Wininet kann jedoch fehlschlagen, einer ausreichenden reservieren Puffer für die Kerberos-Token des Benutzers enthält. Dies kann auftreten, wenn der Benutzer ist Mitglied von mehr als 100 Gruppen, z. B..

Lösung

Dieses Problem betrifft eine Internet Explorer wininet Problem der Pufferung. Um dieses Problem zu beheben, wenden Sie entweder folgenden Hotfix, Windows 2000 Service Pack 2 (SP2) oder ein Update für Internet Explorer, und legen Sie dann den MaxTokenSize -Registrierungsparameter (wird im Abschnitt "Weitere Informationen" beschrieben. in diesem Artikel) auf allen Clientcomputern.

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix behebt jedoch nur das Problem, welches in diesem Artikel beschrieben wird. Wenden Sie diesen Hotfix nur auf Systeme an, bei denen dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download zur Verfügung steht, wird es im oberen Bereich dieses Artikels einen Link "Hotfix donwload" geben. Wenn in diesem Abschnitt nicht angezeigt wird, senden Sie eine Anforderung an Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die üblichen Support-Kosten gelten für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der Microsoft-Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen finden Sie auf der folgenden Microsoft-Website:
http://support.Microsoft.com/contactus/?WS=Support
Hinweis Das Formular "Hotfixdownload available" zeigt die Sprachen an, in denen der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, liegt es daran, dass kein Hotfix für diese Sprache verfügbar ist. Die englische version Dieses Update sollte die folgenden Dateiattribute haben oder höher:
   Date        Time    Version      Size    File name
   --------------------------------------------------
   10/13/2000  04:35p 5.0.3210.1300 459,536 Wininet.dll

				

Abhilfe

Reduzieren Sie die Anzahl der Gruppen, denen der Benutzer angehört.

Status

Microsoft hat bestätigt, dass dies ein Problem in Microsoft Windows 2000.

Weitere Informationen

Weitere Informationen zum Installieren von Windows 2000 und Windows 2000-Hotfixes gleichzeitig, klicken Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
249149Installieren von Microsoft Windows 2000 und Windows 2000-hotfixes
Hinweis Die im Abschnitt "Lösung" dieses Artikels beschriebenen hotfix ersetzt das Update, das in der folgenden Microsoft Knowledge Base-Artikel:
269643 Internet Explorer Kerberos Authentifizierung funktioniert nicht wegen eines unzureichenden Puffers Herstellen einer Verbindung mit IIS
Warnung Wenn Sie die Registrierung falsch mithilfe des Registrierungs-Editors oder mithilfe einer anderen Methode ändern, können schwerwiegende Probleme auftreten. Diese Probleme erfordern möglicherweise eine Neuinstallation des Betriebssystems. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigene Gefahr.
Dieser Hotfix ist ein Registrierungsparameter, die Sie können die Größe des Kerberos-Tokens erhöhen. Zum Beispiel erhöhen die Token 65 KB ermöglicht einen Benutzer in mehr als 900 Gruppen vorhanden sein. Aufgrund der zugeordneten Sicherheitsinformationen ID (SID), diese Zahl kann variieren.

Führen Sie die folgenden, um diesen Registrierungsparameter festzulegen:
  1. Starten Sie den Registrierungs-Editor (Regedt32.exe).
  2. Suchen Sie, und klicken Sie auf die folgende Registrierungseinstellung:
    System\\CurrentControlSet\\Control\\Lsa\\Kerberos\Parameters
  3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie den folgenden Registrierungswert hinzu:
    Wertname: MaxTokenSize
    Datentyp: REG_DWORD
    Basis: Dezimal
    Wertdaten: 65535
  4. Beenden Sie den Registrierungseditor.
Der Standardwert für MaxTokenSize ist 12000 decimal. Microsoft empfiehlt, dass Sie diesen Wert zu setzen 65535 Decimal, FFFF Hexadezimal. Wenn Sie diesen Wert auf 65535 falsch festlegen Hexadezimal (ein extrem hoher Wert) können Sie die Kerberos-Authentifizierungsvorgänge fehlschlagen und Programme geben Fehler zurück. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
297869SMS-Administrator Probleme nach dem Ändern des Kerberos MaxTokenSize Registrierungswerts
Nachdem Sie den Wert festlegen und der Computer ist aktualisiert, den Computer neu starten. Zwar müssen Sie die Domänencontroller aktualisieren einzeln, können Gruppenrichtlinieneinstellungen Sie diesen Wert für den Client festgelegt Computer, die ebenfalls aktualisiert wurden. Sie müssen alle Clientsysteme konfigurieren. und Servern in der Domäne mit dieser Änderung der Registrierung und Aktualisierung der Systeme mit Windows 2000 SP2 oder Hotfixes.

Weitere Informationen klicken Sie auf die folgenden Artikelnummern klicken, um die Artikel der Microsoft Knowledge Base:
313661Update: Fehlermeldung: "Zeitüberschreitung" tritt auf, wenn Sie eine mit SQL Server über TCP/IP Verbindung und das Kerberos MaxTokenSize größer als 0xFFFF ist
300367 DCOM-Client kann Speicher in dem Draht versetzen.
Weitere Informationen über die Konfiguration der Kerberos-token-Größe und Unterstützung in Windows 2000 klicken Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
263693Gruppenrichtlinien kann für Benutzer, die vielen Gruppen angehören nicht angewendet werden

Schritte zum Reproduzieren des Verhaltens

  1. Erstellen Sie ein Windows NT-Konto.
  2. Stellen Sie sicher, dass Active Directory installiert und integriert ist Authentifizierung konfiguriert ist.
  3. Fügen Sie das Konto auf etwa 100 verschiedenen Gruppen.
  4. Erstellen Sie ein zweites Konto und drei Hinzufügen der Gruppen.
Ergebnisse:
Das erste Konto kann nicht durchsucht werden über http://<servername></servername>, aber das zweite Konto kann.
Hinweis Das folgende Skript Creategroup.vbs aus dem Resource Kit verwendet wurde. verwendet, um das Problem zu reproduzieren:
CreateGroup.vbs from the resource kit is a viable method for doing so.
creategroup LDAP: DC=Domain,DC=Org,DC=Company,DC=com GroupName1
CN=administrator,CN=Users,DC=Domain,DC=Org,dc=Company,dc=com password
creategrp.log
...
					

Eigenschaften

Artikel-ID: 277741 - Geändert am: Sonntag, 28. Oktober 2012 - Version: 7.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Keywords: 
kbautohotfix kbhotfixserver kbbug kbfix kbqfe kbmt KB277741 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 277741
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com