Internet Explorer přihlášení nezdaří z důvodu nedostatečné vyrovnávací paměti pro Kerberos

Překlady článku Překlady článku
ID článku: 277741 - Produkty, které se vztahují k tomuto článku.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zazálohovat. Seznamte se také s postupem obnovení registru v případě, že nastane problém. Další informace o zálohování, obnovení a úpravě registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Během procesu připojování k serveru server IIS konfigurované pro ověření systému Windows 2000 uživateli nabídnuty dialogové okno Zadat síťové heslo. Uživatel se pokusí přihlásit. Pověření jsou požadovaná dodaná a potom se zobrazí následující chybovou stránku, přestože jsou pověření platná:
K zobrazení této stránky nemáte oprávnění. Máte oprávnění k zobrazení tohoto adresáře nebo stránky pomocí zadaná pověření.

Příčina

Pověření jsou platná a mohou být využívána přístupu stejné systému prostřednictvím služba WINDOWSNT prostřednictvím příkazu net use. Však může selhat Wininet přidělit dostatek vyrovnávací paměť pro obsahující token Kerberos uživatele. K tomu může dojít, pokud je uživatel členem skupin více než 100 například.

Řešení

Tento problém týká Internet Explorer wininet ukládání do vyrovnávací paměti problém. Chcete-li tento problém vyřešit, použít následující opravu hotfix, Service Pack 2 (SP2) nebo aktualizaci aplikace Internet Explorer a nastavit parametr registru MaxTokenSize (popsaná v části "Další informace" tohoto článku) ve všech klientských počítačích.

K dispozici je podporovaná oprava hotfix od společnosti Microsoft. Tato oprava hotfix je však určena pouze k opravě problému popsanému v tomto článku. Použijte tuto opravu hotfix pouze u systémů, kde dochází k tomuto konkrétnímu problému.

Pokud je oprava hotfix k dispozici ke stažení, v horní části tohoto článku je sekce "Hotfix stažení k dispozici". Není-li tato část uvedena, vyžádejte si tuto opravu hotfix od oddělení služeb zákazníkům a podpory společnosti Microsoft.

Poznámka: Pokud vyskytnout další problémy nebo jakékoli řešení potíží je vyžadován, pravděpodobně budete muset vytvořit zvláštní požadavek na službu. Výdaje na technickou podporu se týkají dalších otázek a problémů, které nelze vyřešit pomocí této opravy konkrétní opravy hotfix. Navštivte následující web společnosti Microsoft pro získání telefonního čísla na Zákaznické centrum, nebo pokud chcete vytvořit samostatnou žádost o podporu:
http://support.microsoft.com/contactus/?ws=support
Poznámka: Zobrazí formulář "Hotfix stažení k dispozici" jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, oprava hotfix není k dispozici pro daný jazyk.Anglická verze této opravy má následující nebo vyšší atributy souborů:
   Date        Time    Version      Size    File name
   --------------------------------------------------
   10/13/2000  04:35p 5.0.3210.1300 459,536 Wininet.dll

				

Jak potíže obejít

Snížit počet skupin, které je uživatel členem.

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v systému Windows 2000.

Další informace

Další informace o současné instalaci systému Windows 2000 a oprav hotfix pro systém Windows 2000 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
249149Instalace systému Microsoft Windows 2000 a oprav pro systém Windows 2000
Poznámka: Opravy hotfix popsané v tomto článku v části "Řešení" nahrazuje opravu hotfix původně poskytované v následujícím článku znalostní báze Microsoft Knowledge Base:
269643Ověřování Internet Explorer Kerberos nefunguje z důvodu nedostatečné vyrovnávací paměti připojování IIS
Upozornění Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.
Tato oprava hotfix obsahuje parametr registru, můžete zvětšit velikost token Kerberos. Například zvýšení token na 65 KB umožní uživatel být přítomna v více než 900 skupin. Kvůli informace přidružené zabezpečení identifikátor (SID) se může lišit toto číslo.

Chcete-li nastavit parametr provádět následující:
  1. Spusťte program Editor registru (Regedt32.exe).
  2. Vyhledejte a klepněte na následující nastavení registru:
    System\\CurrentControlSet\\Control\\Lsa\\Kerberos\Parameters
  3. V nabídce Úpravy klepněte na příkaz Přidat hodnotu a přidejte následující hodnotu registru:
    Název hodnoty: MaxTokenSize
    Typ dat: REG_DWORD
    Radix: Decimal
    Hodnota dat: 65535
  4. Ukončete program Editor registru.
Výchozí hodnota MaxTokenSize je 12000 desítkové. Společnost Microsoft doporučuje nastavit hodnotu 65535 desítková, šestnáctková FFFF. Pokud nesprávně nastavena tato hodnota 65535 šestnáctkové (hodnota extrémně velký) operace ověřování Kerberos mohou selhat a programy budou vracejí chyby. Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
297869Problémy SMS Administrator po změnit hodnotu registru Kerberos MaxTokenSize
Po nastavení hodnoty a počítač aktualizován, restartujte počítač. Ačkoli řadiče domény musí aktualizovat jednotlivě, můžete tuto hodnotu nastavit pro klientské počítače byly také aktualizovány nastavení Zásady skupiny. Je nutné konfigurovat všechny klientské systémy a servery v doméně s Tato změna registru a aktualizaci systémů Windows 2000 SP2 nebo opravy hotfix.

Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
313661Oprava: Chybová zpráva: "Timeout prošlé" dochází při připojení k serveru SQL přes TCP/IP a je větší než 0xFFFF Kerberos MaxTokenSize
300367Klient DCOM může umístit podél paměti
Další informace o konfiguraci velikost token Kerberos a podporu v systému Windows 2000 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
263693Zásady skupiny nemusí být použita k uživatelé patřící mnoho skupin

Kroky pro reprodukci chování

  1. Vytvořit účet WINDOWSNT.
  2. Ujistěte se, Active Directory je nainstalována a nakonfigurována integrované ověřování.
  3. Přidat účet přibližně 100 různých skupin.
  4. Vytvořte druhý účet a přidat do tří skupin.
Výsledky:
První účet nelze procházet prostřednictvím http:// <servername>, ale může druhý účet.
Poznámka: Následující skript pomocí Creategroup.vbs z reskit byl použit pro reprodukci problému:
CreateGroup.vbs from the resource kit is a viable method for doing so.
creategroup LDAP: DC=Domain,DC=Org,DC=Company,DC=com GroupName1
CN=administrator,CN=Users,DC=Domain,DC=Org,dc=Company,dc=com password
creategrp.log
...
					

Vlastnosti

ID článku: 277741 - Poslední aktualizace: 21. února 2007 - Revize: 5.7
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
kbmt kbautohotfix kbhotfixserver kbbug kbfix kbqfe KB277741 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:277741

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com