Kerberos に割り当てられたバッファが不十分で Internet Explorer によるログオンが失敗する

文書翻訳 文書翻訳
文書番号: 277741 - 対象製品
この記事は、以前は次の ID で公開されていました: JP277741
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

現象

Windows 2000 認証が有効になっている Internet Information Server (IIS) サーバーへの接続処理中に、[ネットワーク パスワードの入力] ダイアログ ボックスが表示されます。ユーザーがログオンを試みると資格情報が要求されるため、ユーザーが資格情報を入力すると、入力した資格情報が有効な場合でも次のエラー ページが表示されます。
このページを表示する権限がありません。提供された資格情報には、このディレクトリまたはページを表示する権限がありません。

原因

資格情報は有効であるため、Windows NT Server サービスから net use コマンドを使用して同じシステムにアクセスできます。ただし、Wininet がユーザーの Kerberos トークンに十分なバッファを割り当てられないことがあります。この問題は、たとえばユーザーが 100 を超えるグループのメンバである場合に発生することがあります。

解決方法

この問題は Internet Explorer の wininet によるバッファ処理の問題に関連して発生します。この問題を解決するには、すべてのクライアント コンピュータに以下の修正プログラム、Windows 2000 Service Pack 2 (SP2)、または Internet Explorer 更新プログラムを適用してから、MaxTokenSize レジストリ パラメータを設定します (このパラメータの詳細については、この資料の「詳細」で説明します)。

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、修正プログラムはこの資料に記載された問題のみを修正することを目的としており、障害があったコンピュータに対してのみ適用することを推奨します。この修正プログラムは、今後さらにテストを行う場合があります。この問題で深刻な影響を受けていない場合は、この修正プログラムが含まれる次の Windows 2000 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、Microsoft Product Support Services にお問い合わせのうえ、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次のマイクロソフト Web ページを参照してください。
http://support.microsoft.com/contactus/?ws=support
: Microsoft Support 担当者が、特定の更新プログラムを適用することにより問題が解決されると判断した場合、まれに通常サポート依頼にかかる料金が免除されることがあります。ただし、特定の更新プログラムの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。 修正プログラム (英語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付           時刻    バージョン       サイズ   ファイル名
   --------------------------------------------------
   10/13/2000  04:35p 5.0.3210.1300 459,536 Wininet.dll

				

回避策

ユーザーが所属しているグループの数を減らします。

状況

マイクロソフトでは、この問題を Microsoft Windows 2000 の問題として認識しています。

詳細

Windows 2000 と Windows 2000 の修正プログラムを同時にインストールする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
249149 Microsoft Windows 2000 および Windows 2000 ホットフィックスのインストール
: この資料の「解決方法」に示した修正プログラムは、以下の「サポート技術情報」(Microsoft Knowledge Base) に記載されている修正プログラムに代わる最新のものです。
269643 IIS に接続する際に Internet Explorer の Kerberos 認証がバッファ不足のため機能しない
警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。
この修正プログラムによって追加されるレジストリ パラメータを使用すると、Kerberos トークンのサイズを増やすことができます。たとえば、トークン サイズを 65 KB に増やすと、ユーザーが 900 を超えるグループに属しても問題は発生しません。ただし、このグループ数は、関連付けられたセキュリティ識別子 (SID) によって異なります。

このレジストリ パラメータを設定するには、以下の手順を実行します。
  1. レジストリ エディタ (Regedt32.exe) を起動します。
  2. 次のレジストリ設定を見つけてクリックします。
    System\\CurrentControlSet\\Control\\Lsa\\Kerberos\Parameters
  3. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
    値の名前 : MaxTokenSize
    データ型 : REG_DWORD
    基数 : 10 進数
    値のデータ : 65535
  4. レジストリ エディタを終了します。
MaxTokenSize のデフォルト値は 10 進の 12000 です。この値は 10 進の 65535 (16 進の FFFF) に設定することをお勧めします。この値を 16 進の 65535 (非常に大きな値) に誤って設定すると、Kerberos 認証操作が失敗し、プログラムからエラーが返される場合があります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
297869 Kerberos のレジストリ値 MaxTokenSize を変更した後の SMS 管理コンソールの問題
レジストリ パラメータの値を増やしてコンピュータの設定が更新されたら、コンピュータを再起動します。ドメイン コントローラは個別に更新する必要がありますが、グループ ポリシーの設定を使用することによって、更新されたクライアント コンピュータに新しいパラメータ値を設定できます。ドメイン内のすべてのクライアント システムとサーバーにレジストリの変更を反映し、Windows 2000 SP2 または修正プログラムを適用する必要があります。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
313661 [FIX] エラー メッセージ : "タイムアウトが発生しました" が発生する
300367 DCOM クライアントがメモリの内容をネットワーク上に送ることがある
Windows 2000 の Kerberos トークンのサイズの設定およびサポートの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
263693 多数のグループに属するユーザーに対してグループ ポリシーが適用されない

現象の再現手順

  1. Windows NT アカウントを作成します。
  2. Active Directory がインストールされていて、統合認証が構成されていることを確認します。
  3. 作成したアカウントを、約 100 の異なるグループに追加します。
  4. 2 番目のアカウントを作成し、グループのうちの 3 つに追加します。
結果
最初のアカウントは http://<servername> を参照できませんが、2 番目のアカウントは参照できます。
: この問題の再現は、リソース キットに含まれる Creategroup.vbs を使用したスクリプトで行いました。
リソース キットの CreateGroup.vbs は、これを実行するための有効な方法です。
creategroup LDAP: DC=Domain,DC=Org,DC=Company,DC=com GroupName1
CN=administrator,CN=Users,DC=Domain,DC=Org,dc=Company,dc=com password
creategrp.log
...
					

プロパティ

文書番号: 277741 - 最終更新日: 2006年2月24日 - リビジョン: 5.4
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
キーワード:?
kbhotfixserver kbbug kbfix kbqfe KB277741
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com