Inicio de sesión de Internet Explorer falla debido a un búfer insuficiente para Kerberos

Seleccione idioma Seleccione idioma
Id. de artículo: 277741 - Ver los productos a los que se aplica este artículo
importante Este artículo contiene información acerca de cómo modificar el registro. Compruebe que ha hecho una copia de seguridad del Registro antes de modificarlo. Compruebe que sabe restaurar el Registro en caso de que se produzca algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Síntomas

Durante el proceso de conexión a un servidor de Internet Information Server (IIS) configurado para autenticación de Windows 2000, el usuario recibe el cuadro de diálogo Escribir contraseña de red . El usuario intenta iniciar sesión. Las credenciales son solicitadas y proporcionadas y, a continuación, la siguiente página de error aparece, aunque las credenciales son válidas:
No está autorizado para ver esta página. No tiene permiso para ver este directorio o esta página mediante las credenciales proporcionadas.

Causa

Las credenciales son válidas y pueden utilizarse para tener acceso al mismo sistema mediante el servicio de Windows NT Server mediante el comando net use . Sin embargo, Wininet puede no asignar un búfer suficiente para contener el símbolo (token) de Kerberos del usuario. Esto puede ocurrir si el usuario es un miembro de más de 100 grupos, por ejemplo.

Solución

Este problema implica un wininet Internet búfer problema. Para resolver este problema, aplique la revisión siguiente, Windows 2000 Service Pack 2 (SP2) o una actualización de Internet Explorer y, a continuación, establezca el parámetro de registro de MaxTokenSize (descrito en la sección "Más información" de este artículo) en todos los equipos cliente.

Hay una revisión compatible de Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo a los sistemas que experimenten este problema específico.

Si la revisión está disponible para descarga, es hay una sección de "Descarga de revisión disponible" al principio de este artículo. Si no aparece en esta sección, enviar una solicitud al servicio de cliente de Microsoft y soporte para obtener la revisión.

Nota Si se producen problemas adicionales o si cualquier solución de problemas es necesario, quizás tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con esta revisión específica. Para obtener una lista completa de números de teléfono de servicio de atención al cliente y soporte técnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:
http://support.microsoft.com/contactus/?ws=support
Nota El formulario "Descarga de revisión disponibles" muestra los idiomas para que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.La versión en inglés de esta revisión debe tener los atributos de archivo siguientes o posteriores:
   Date        Time    Version      Size    File name
   --------------------------------------------------
   10/13/2000  04:35p 5.0.3210.1300 459,536 Wininet.dll

				

Solución

Reduzca el número de grupos que el usuario es un miembro de.

Estado

Microsoft ha confirmado que se trata de un problema de Microsoft Windows 2000.

Más información

Para obtener más información acerca de cómo instalar Windows 2000 y revisiones de Windows 2000 al mismo tiempo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
249149Instalar revisiones de Microsoft Windows 2000 y Windows 2000
Nota La revisión descrita en la sección "Solución" de este artículo reemplaza a la revisión proporcionada originalmente en el siguiente artículo de Microsoft Knowledge Base:
269643Internet Explorer la autenticación Kerberos no funciona debido a un búfer insuficiente conectar a IIS
Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o utilizando otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.
Esta revisión proporciona un parámetro del registro que puede utilizar para aumentar el tamaño de símbolo (token) de Kerberos. Por ejemplo, aumentar el token a 65 KB permitirá un usuario debe estar presente en más de 900 grupos. Debido a la información de identificador (SID) de seguridad asociado, este número puede variar.

Realice los siguientes pasos para establecer este parámetro:
  1. Inicie el Editor del Registro (Regedt32.exe).
  2. Busque y haga clic en la configuración del Registro siguiente:
    System\\CurrentControlSet\\Control\\Lsa\\Kerberos\Parameters
  3. En el menú Edición , haga clic en Agregar valor y, a continuación, agregue el siguiente valor del registro:
    Nombre del valor: MaxTokenSize
    Tipo de datos: REG_DWORD
    Base: decimal
    Valor de datos: 65535
  4. Salga del Editor del Registro.
El valor predeterminado de MaxTokenSize es 12000 decimal. Microsoft recomienda que establezca este valor a 65535 decimal, hexadecimal FFFF. Si establece este valor incorrectamente a 65535 hexadecimal (un valor extremadamente grande) pueden fallar las operaciones de autenticación de Kerberos y programas devolverá errores. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
297869Problemas de administración de SMS después de modificar el valor de registro de MaxTokenSize de Kerberos
Después de establecer el valor y el equipo está actualizado, reinicie el equipo. Aunque se deben actualizar los controladores de dominio individualmente, puede utilizar la configuración de directiva de grupo para establecer este valor para los equipos cliente que también se han actualizado. Debe configurar todos los sistemas cliente y servidores en el dominio con esta modificación del registro y actualizar los sistemas con Windows 2000 Service Pack 2 o las revisiones.

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
313661REVISIÓN: Mensaje de error: "Tiempo de espera caducado" se produce cuando conectarse a SQL Server a través de TCP/IP y el valor MaxTokenSize de Kerberos es mayor que 0xFFFF
300367Cliente DCOM puede poner la memoria en el cable
Para obtener más información sobre la configuración de tamaño de símbolo (token) de Kerberos y soporte técnico en Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
263693No se puede aplicar la directiva de grupo a los usuarios que pertenecen a muchos grupos

Pasos para reproducir este comportamiento

  1. Cree una cuenta de Windows NT.
  2. Asegúrese de que Active Directory está instalado y configurada la autenticación integrada.
  3. Agregue la cuenta a aproximadamente 100 grupos distintos.
  4. Cree una segunda cuenta y agregarlo a tres de los grupos.
resultados:
La primera cuenta no puede explorar a través de http:// <nombreservidor> <servername>, pero puede la segunda cuenta.
Nota La siguiente secuencia de comandos utilizando creategroup.vbs desde el Kit de recursos se utiliza para reproducir el problema:
CreateGroup.vbs from the resource kit is a viable method for doing so.
creategroup LDAP: DC=Domain,DC=Org,DC=Company,DC=com GroupName1
CN=administrator,CN=Users,DC=Domain,DC=Org,dc=Company,dc=com password
creategrp.log
...
					

Propiedades

Id. de artículo: 277741 - Última revisión: miércoles, 21 de febrero de 2007 - Versión: 5.7
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbmt kbautohotfix kbhotfixserver kbbug kbfix kbqfe KB277741 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 277741

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com