Internet Explorer logon falha devido a um buffer insuficiente para o Kerberos

Traduções deste artigo Traduções deste artigo
ID do artigo: 277741 - Exibir os produtos aos quais esse artigo se aplica.
importante Este artigo contém informações sobre como modificar o registro. Certifique-se de fazer backup do registro antes de modificá-lo. Certifique-se que você sabe como restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
256986Descrição do registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Durante o processo de conexão com um servidor de Internet Information Server (IIS) configurado para autenticação do Windows 2000, é apresentada ao usuário com a caixa de diálogo Enter Network Password . O usuário tenta fazer logon. As credenciais são solicitadas e fornecidas e, em seguida, a seguinte página de erro é exibida, embora as credenciais forem válidas:
Você não está autorizado a exibir esta página. Você não tem permissão para exibir este diretório ou esta página usando as credenciais fornecidas.

Causa

As credenciais são válidas e podem ser utilizadas para acessar o mesmo sistema através do serviço Windows NT Server através do comando net use . No entanto, o Wininet pode falhar ao alocar um buffer suficiente para conter o símbolo do usuário Kerberos. Isso pode ocorrer se o usuário for um membro de mais de 100 grupos, por exemplo.

Resolução

Esse problema envolve um wininet Internet Explorer buffer problema. Para resolver esse problema, aplicar o seguinte hotfix, Windows 2000 Service Pack 2 (SP2) ou uma atualização do Internet Explorer e defina o parâmetro de registro MaxTokenSize (descrito na seção "Mais informações" deste artigo) em todos os computadores cliente.

Um hotfix suportado está disponível no Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema específico.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior neste artigo da Base de dados de Conhecimento. Se esta seção não for exibido, envie uma solicitação para suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa de números de telefone de suporte e Atendimento Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site:
http://support.microsoft.com/contactus/?ws=support
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.A versão em inglês dessa correção deve ter os seguintes atributos de arquivo ou posteriores:
   Date        Time    Version      Size    File name
   --------------------------------------------------
   10/13/2000  04:35p 5.0.3210.1300 459,536 Wininet.dll

				

Como Contornar

Reduza o número de grupos que o usuário é um membro de.

Situação

A Microsoft confirmou que este é um problema no Microsoft Windows 2000.

Mais Informações

Para obter mais informações sobre como instalar o Windows 2000 e hotfixes do Windows 2000 ao mesmo tempo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
249149Instalando os hotfixes do Microsoft Windows 2000 e Windows 2000
Observação O hotfix descrito na seção "Resolução" deste artigo substitui o hotfix originalmente fornecido no seguinte artigo Base de dados de Conhecimento Microsoft:
269643Internet Explorer A autenticação Kerberos não funciona devido a um buffer insuficiente conectando-se ao IIS
Aviso Podem ocorrer sérios problemas se você modificar o registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir que você reinstale seu sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro por sua própria conta e risco.
Esse hotfix fornece um parâmetro do registro que você pode usar para aumentar o tamanho de token Kerberos. Por exemplo, aumentar o símbolo de 65 KB permitirá que um usuário esteja presente em mais de 900 grupos. Devido às informações de identificador de segurança (SID) de segurança associado, esse número pode variar.

Execute o seguinte para definir esse parâmetro:
  1. Inicie o Editor do Registro (Regedt32.exe).
  2. Localize e clique em seguinte configuração do Registro:
    System\\CurrentControlSet\\Control\\Lsa\\Kerberos\Parameters
  3. No menu Editar , clique em Adicionar valor e adicione o seguinte valor do Registro:
    Nome do valor: MaxTokenSize
    Tipo de dados: REG_DWORD
    Base: decimal
    Dados do valor: 65535
  4. Feche o Editor do Registro.
O valor padrão para MaxTokenSize é 12000 decimal. A Microsoft recomenda que você defina esse valor a 65535 em decimal, hexadecimal FFFF. Se você definir esse valor incorretamente a 65535 hexadecimal (um valor extremamente grande) operações de autenticação Kerberos poderá falhar e programas irão retornar erros. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
297869Problemas de SMS Administrator depois de modificar o valor de registro Kerberos MaxTokenSize
Após você definir o valor e o computador está atualizado, reinicie o computador. Embora você deve atualizar os controladores de domínio individualmente, você pode usar as configurações de diretiva de grupo para definir esse valor para computadores clientes que também foram atualizados. Você deve configurar todos os sistemas clientes e servidores no domínio com essa modificação do Registro e atualizar os sistemas com Windows 2000 SP2 ou os hotfixes.

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
313661CORRECÇÃO: Mensagem de erro: "Tempo limite expirou" ocorre quando você se conectar ao SQL Server sobre TCP/IP e Kerberos MaxTokenSize é maior do que 0xFFFF
300367Cliente DCOM pode colocar memória durante a transmissão
Para obter mais informações sobre configuração de tamanho de token Kerberos e suporte no Windows 2000, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
263693Diretiva de grupo não pode ser aplicada a usuários que pertencem a muitos grupos

Etapas para reproduzir o problema

  1. Crie uma conta do Windows NT.
  2. Certifique-se que o Active Directory está instalado e autenticação integrada está configurada.
  3. Adicione a conta a grupos diferentes aproximadamente 100.
  4. Crie uma segunda conta e adicione-a três dos grupos.
resultados:
A primeira conta não pode procurar por meio de http:// <nome_do_servidor> <servername>, mas a segunda conta pode.
Observação O seguinte script usando creategroup.vbs do reskit foi usado para reproduzir o problema:
CreateGroup.vbs from the resource kit is a viable method for doing so.
creategroup LDAP: DC=Domain,DC=Org,DC=Company,DC=com GroupName1
CN=administrator,CN=Users,DC=Domain,DC=Org,dc=Company,dc=com password
creategrp.log
...
					

Propriedades

ID do artigo: 277741 - Última revisão: quarta-feira, 21 de fevereiro de 2007 - Revisão: 5.7
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kbautohotfix kbhotfixserver kbbug kbfix kbqfe KB277741 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 277741

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com