Falha de início de sessão do Internet Explorer devido a uma memória intermédia insuficiente para Kerberos

Traduções de Artigos Traduções de Artigos
Artigo: 277741 - Ver produtos para os quais este artigo se aplica.
importante Este artigo contém informações sobre como modificar o registo. Certifique-se de que cópia de segurança do registo antes de o modificar. Certifique-se que sabe como restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança, restaurar e modificar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
256986Descrição do registo do Microsoft Windows
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Durante o processo de ligação a um servidor de Internet Information Server (IIS) configurado para autenticação do Windows 2000, é apresentada ao utilizador com a caixa de diálogo Introduza a palavra-passe de rede . O utilizador tenta iniciar sessão. As credenciais são pedidas e fornecidas e, em seguida, a seguinte página de erro é apresentada, mesmo que as credenciais forem válidas:
Não está autorizado a ver esta página. Não tem permissão para visualizar este directório ou página utilizando as credenciais fornecidas.

Causa

As credenciais são válidas e podem ser utilizadas para aceder ao mesmo sistema através do serviço Windows NT Server através do comando net use . No entanto, Wininet pode não conseguir atribuir uma memória intermédia suficiente para que contém o token do utilizador Kerberos. Isto pode ocorrer se o utilizador for membro de grupos mais de 100, por exemplo.

Resolução

Este problema envolve um wininet Internet Explorer problema de memória intermédia. Para resolver este problema, aplique a correcção seguinte, Windows 2000 Service Pack 2 (SP2) ou uma actualização do Internet Explorer e, em seguida, defina o parâmetro de registo MaxTokenSize (descrito na secção "Mais informação" deste artigo) em todos os computadores cliente.

Está disponível a partir da Microsoft uma correcção suportada. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.

Se a correcção está disponível para transferência, existe uma secção "denominada transferência de correcção disponível" na parte superior deste artigo da base de dados de conhecimento. Se esta secção não for apresentada, submeta um pedido para o serviço de cliente do Microsoft e suporte para obter a correcção.

Nota Se ocorram problemas adicionais ou se for necessária qualquer resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem esta correcção específica. Para obter uma lista completa dos números de telefone do suporte de cliente do Microsoft ou para criar um pedido serviço separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para a qual a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.A versão inglesa desta correcção deverá ter os seguintes atributos de ficheiro ou posteriores:
   Date        Time    Version      Size    File name
   --------------------------------------------------
   10/13/2000  04:35p 5.0.3210.1300 459,536 Wininet.dll

				

Como contornar

Reduza o número de grupos de que o utilizador for membro de.

Ponto Da Situação

A Microsoft confirmou que este é um problema no Microsoft Windows 2000.

Mais Informação

Para obter mais informações sobre como instalar o Windows 2000 e as correcções do Windows 2000 ao mesmo tempo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
249149Instalar correcções do Microsoft Windows 2000 e Windows 2000
Nota A correcção descrita na secção "Resolução" deste artigo substitui a correcção originalmente fornecida o seguinte artigo da base de dados de conhecimento da Microsoft:
269643Internet Explorer A autenticação Kerberos não funciona devido a uma memória intermédia insuficiente ligar ao IIS
aviso Podem ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. Microsoft não garante que estes problemas podem ser resolvidos. Modificar o registo por sua conta e risco.
Esta correcção fornece um parâmetro de registo que pode utilizar para aumentar o tamanho do token Kerberos. Por exemplo, aumentar o token a 65 KB irá permitir um utilizador existir em mais de 900 grupos. Devido às informações de identificador de segurança (SID) de segurança associada, este número pode variar.

Execute o seguinte para definir este parâmetro:
  1. Inicie o Editor de registo (Regedt32.exe).
  2. Localize e clique na seguinte definição de registo:
    System\\CurrentControlSet\\Control\\Lsa\\Kerberos\Parameters
  3. No menu Editar , clique em Adicionar valor e, em seguida, adicione o seguinte valor de registo:
    Nome do valor: MaxTokenSize
    Tipo de dados: REG_DWORD
    Base: decimal
    Dados do valor: 65535
  4. Saia do Editor de registo.
O valor predefinido para MaxTokenSize é 12000 decimal. A Microsoft recomenda que configure este valor a 65535 decimal, hexadecimal FFFF. Se definir este valor incorrectamente a 65535 hexadecimal (um valor extremamente grande) operações de autenticação Kerberos poderão falhar e programas irão devolver erros. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
297869Administrador do SMS problemas depois de modificar o valor de registo Kerberos MaxTokenSize
Depois de definir o valor e o computador está actualizado, reinicie o computador. Apesar dos controladores de domínio tem de actualizar individualmente, pode utilizar as definições de política de grupo para definir este valor para computadores clientes que também tenham sido actualizados. Tem de configurar todos os sistemas cliente e servidores no domínio com esta modificação do registo e actualizar os sistemas com Windows 2000 SP2 ou as correcções.

Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
313661CORRECÇÃO: Mensagem de erro: "Tempo de espera expirou" ocorre quando ligar ao SQL Server através de TCP/IP e Kerberos MaxTokenSize for superior a 0xFFFF
300367Cliente DCOM poderá colocar memória durante a ligação
Para obter mais informações sobre configuração de tamanho token Kerberos e suporte no Windows 2000, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
263693A política de grupo não pode ser aplicada a utilizadores que pertençam a vários grupos

Passos para reproduzir o comportamento

  1. Crie uma conta de Windows NT.
  2. Certifique-se que o Active Directory está instalado e a autenticação integrada está configurada.
  3. Adicione a conta aos grupos diferentes aproximadamente 100.
  4. Criar uma segunda conta e adicione-a três dos grupos.
resultados:
A primeira conta não pode procurar através de http:// <servername> , mas a segunda conta.
Nota O script seguinte utilizando creategroup.vbs o reskit foi utilizado para reproduzir o problema:
CreateGroup.vbs from the resource kit is a viable method for doing so.
creategroup LDAP: DC=Domain,DC=Org,DC=Company,DC=com GroupName1
CN=administrator,CN=Users,DC=Domain,DC=Org,dc=Company,dc=com password
creategrp.log
...
					

Propriedades

Artigo: 277741 - Última revisão: 21 de fevereiro de 2007 - Revisão: 5.7
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kbautohotfix kbhotfixserver kbbug kbfix kbqfe KB277741 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 277741

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com