Internet Explorer logon gagal karena tidak cukup penyangga untuk Kerberos

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 277741 - Melihat produk di mana artikel ini berlaku.
Penting Artikel ini berisi informasi tentang cara mengubah registri. Pastikan untuk membuat cadangan registri sebelum Anda memodifikasinya. Pastikan Anda mengetahui cara memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan, memulihkan, dan mengubah registri, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
256986 Deskripsi registri Microsoft Windows
Perbesar semua | Perkecil semua

Pada Halaman ini

GEJALA

Selama proses menghubungkan ke Internet informasi Server (IIS) server dikonfigurasi untuk Windows 2000, pengguna adalah disajikan dengan Masukkan sandi jaringan kotak dialog. Pengguna mencoba untuk log on. Surat-surat diminta dan diberikan, dan kemudian halaman kesalahan berikut ditampilkan, bahkan Meskipun kredensial berlaku:
Anda tidak diizinkan untuk melihat halaman ini. Anda tidak memiliki izin untuk melihat direktori atau Halaman ini menggunakan kredensial yang Anda masukkan.

PENYEBAB

Kredensial valid dan dapat dimanfaatkan untuk akses sistem yang sama melalui layanan Windows NT Server melalui net use perintah. Namun, Wininet mungkin gagal untuk mengalokasikan cukup penyangga untuk mengandung pengguna Kerberos tanda. Hal ini mungkin terjadi jika pengguna anggota dari kelompok-kelompok lebih dari 100, misalnya.

PEMECAHAN MASALAH

Masalah ini melibatkan wininet Internet Explorer buffer masalah. Untuk mengatasi masalah ini, gunakan salah satu perbaikan terbaru berikut, Windows 2000 Paket Layanan 2 (SP2) atau pembaruan Internet Explorer, dan kemudian mendirikan The MaxTokenSize registri parameter (dijelaskan di bagian "Informasi selengkapnya" Artikel ini) pada semua komputer klien.

Tersedia hotfix yang didukung dari Microsoft. Namun, hotfix ini ditujukan hanya untuk memecahkan masalah yang dijelaskan di artikel ini. Gunakan hotfix ini hanya untuk sistem yang mengalami masalah khusus ini.

Apabila hotfix tersedia untuk diunduh, akan ada bagian "Tersedia unduhan hotfix" di bagian atas artikel Pangkalan Pengetahuan ini. Jika bagian ini tidak ditampilkan, kirimkan permintaan ke Layanan Pelanggan dan Dukungan Microsoft untuk mendapatkan hotfix.

Catatan Jika terjadi masalah tambahan atau jika pemecahan masalah apa pun diperlukan, Anda perlu membuat permintaan layanan tersendiri. Biaya dukungan biasa akan diterapkan pada pertanyaan dan masalah dukungan tambahan yang tidak termasuk di hotfix ini. Untuk daftar lengkap nomor telepon pelanggan layanan dan dukungan Microsoft atau untuk membuat permintaan layanan tersendiri, kunjungi Web site Microsoft berikut:
http://support.microsoft.com/contactus/?ws=support
Catatan Formulir "Tersedia download perbaikan terbaru" menampilkan bahasa untuk perbaikan terbaru tersedia. Jika tidak menemukan bahasa Anda, ini karena hotfix tidak tersedia untuk bahasa tersebut. Versi bahasa Inggris perbaikan ini harus memiliki atribut berkas berikut atau kemudian:
   Date        Time    Version      Size    File name
   --------------------------------------------------
   10/13/2000  04:35p 5.0.3210.1300 459,536 Wininet.dll

				

TEKNIK PEMECAHAN MASALAH

Mengurangi jumlah kelompok pengguna adalah anggota.

STATUS

Microsoft telah mengkonfirmasi bahwa ini merupakan masalah di dalam Microsoft Windows 2000.

INFORMASI LEBIH LANJUT

Untuk informasi lebih lanjut tentang cara menginstal Windows 2000 dan Windows perbaikan terbaru 2000 bersamaan dengan itu, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
249149Menginstal perbaikan terbaru Microsoft Windows 2000 dan Windows 2000
Catatan Perbaikan terbaru yang dijelaskan di bagian "pemecahan masalah" pada artikel ini menggantikan perbaikan terbaru yang awalnya disediakan dalam Pengetahuan Microsoft berikut Artikel Base:
269643 Otentikasi Internet Explorer Kerberos tidak bekerja karena tidak cukup penyangga yang menghubungkan ke IIS
Warning Masalah serius mungkin muncul jika Anda memodifikasi registri secara tidak benar dengan menggunakan Peninjau Suntingan Registri atau metode lainnya. Masalah ini mungkin mengharuskan Anda untuk memasang ulang sistem operasi. Microsoft tidak dapat menjamin bahwa masalah ini dapat diatasi. Ubah registri atas risiko Anda sendiri.
Perbaikan terbaru ini menyediakan parameter registri Anda dapat menggunakan untuk meningkatkan ukuran token Kerberos. Sebagai contoh, meningkatkan token untuk 65 KB akan memungkinkan pengguna untuk hadir dalam kelompok lebih dari 900. Karena Informasi pengenal (SID) terkait keamanan, jumlah ini mungkin bervariasi.

Melakukan berikut untuk mengatur parameter ini:
  1. Mulai Penyunting Registri (Regedt32.exe).
  2. Cari dan klik pengaturan registri berikut:
    System\\CurrentControlSet\\Control\\Lsa\\Kerberos\Parameters
  3. Pada Mengedit menu, klik Tambahkan nilai, dan kemudian menambahkan nilai registri berikut:
    Nama nilai: MaxTokenSize
    Tipe data: REG_DWORD
    Radix: desimal
    Nilai data: 65535
  4. Tutup Penyunting Registri.
Nilai default untuk MaxTokenSize adalah 12000 desimal. Microsoft menyarankan Anda untuk menetapkan nilai ini 65535 desimal, FFFF heksadesimal. Jika Anda menetapkan nilai ini salah-65.535 heksadesimal (nilai yang sangat besar) operasi otentikasi Kerberos mungkin gagal, dan program akan kembali kesalahan. Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
297869SMS Administrator masalah setelah Anda mengubah nilai registri Kerberos MaxTokenSize
Setelah Anda mengatur nilai dan komputer Diperbarui, restart komputer. Meskipun Anda harus memperbarui pengontrol domain secara individu, Anda dapat menggunakan pengaturan kebijakan grup untuk menetapkan nilai ini untuk klien komputer yang telah diperbarui. Anda harus mengkonfigurasi semua klien sistem dan server di domain dengan modifikasi registri ini dan update sistem dengan Windows 2000 SP2 atau perbaikan terbaru.

Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
313661FIX: Kesalahan pesan: "Timeout kedaluwarsa" terjadi ketika Anda menghubungkan ke SQL Server atas TCP/IP dan Kerberos MaxTokenSize lebih besar daripada 0xFFFF
300367 DCOM klien dapat menempatkan memori pada kabel
Untuk informasi lebih lanjut tentang Kerberos ukuran token konfigurasi dan dukungan pada Windows 2000, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
263693Kebijakan Grup tidak dapat diterapkan untuk pengguna milik banyak kelompok

Langkah-langkah untuk mereproduksi perilaku

  1. Membuat account Windows NT.
  2. Pastikan bahwa Active Directory yang diinstal dan terintegrasi Otentikasi dikonfigurasi.
  3. Menambahkan account untuk sekitar 100 berbeda kelompok-kelompok.
  4. Membuat account kedua dan menambahkannya ke tiga dari kelompok-kelompok.
Hasil:
Pertama account cant browse melalui http://<servername></servername>, tetapi kedua account dapat.
Catatan Script berikut yang menggunakan Creategroup.vbs dari reskit digunakan untuk mereproduksi masalah:
CreateGroup.vbs from the resource kit is a viable method for doing so.
creategroup LDAP: DC=Domain,DC=Org,DC=Company,DC=com GroupName1
CN=administrator,CN=Users,DC=Domain,DC=Org,dc=Company,dc=com password
creategrp.log
...
					

Properti

ID Artikel: 277741 - Kajian Terakhir: 23 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Kata kunci: 
kbautohotfix kbhotfixserver kbbug kbfix kbqfe kbmt KB277741 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:277741

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com