Internet Explorer 登入 Kerberos 的失敗因為至沒有足夠的緩衝區

文章翻譯 文章翻譯
文章編號: 277741 - 檢視此文章適用的產品。
重要本文包含有關如何修改登錄的資訊。請確定您修改之前備份登錄。如果發生問題,請確定您知道如何還原登錄。如何備份、 還原,及修改登錄的相關資訊,請按一下下列的文件編號,檢視 Microsoft 知識庫中的文件:
256986Microsoft Windows 登錄的描述
全部展開 | 全部摺疊

在此頁中

徵狀

連線到 Windows 2000 驗證設定的網際網路資訊伺服器 (IIS) 伺服器的程序,期間,使用者會看到 輸入網路密碼] 對話方塊。使用者嘗試登入。認證是要求,提供,並再下列的錯誤網頁顯示,即使憑證是有效的:
您沒有檢視此頁面的權限。您無權檢視這個目錄或網頁使用您提供的認證。

發生的原因

認證是有效的可以利用透過 Windows NT Server 服務透過 net use 指令存取相同的系統。然而,Wininet 可能無法配置足夠的緩衝區包含使用者的 Kerberos 語彙基元。如果使用者是 100 個以上的群組成員,例如,這可能會發生。

解決方案

這個問題牽涉到緩衝處理問題的 Internet Explorer Wininet。如果要解決這個問題,套用下列的 Hotfix、 Windows 2000 Service Pack 2 (SP2) 或 Internet Explorer 更新,然後將所有的用戶端電腦上的設 MaxTokenSize 登錄參數 (如本文 < 其他相關資訊 > 一節所述)]。

Microsoft 提供支援的 Hotfix。不過,此 Hotfix 旨在修正本文中所述隨問題。只會發生此特定問題的系統套用此 Hotfix。

如果此 Hotfix 可供下載,您可在本知識庫文件的頂端找到「 可用的 Hotfix 下載 」區段。如果沒有出現此區段,將要求提交到 Microsoft 客戶服務及支援],以取得該 Hotfix。

附註如果發生其他問題,或如果需要任何疑難排解,您可能必須建立個別的服務要求。和此 Hotfix 無關的額外支援問題適用一般的支援費用。如需 Microsoft 客戶服務支援部門電話號碼的完整清單或要建立個別的服務要求,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
附註「 下載 Hotfix 」 表單會顯示此 Hotfix 會出現,以供使用的語言。如果您沒有看到您的語言,是因為此 Hotfix 是不適用您的語言。此修正程式的英文版應該具有下列檔案屬性或更新版本:
   Date        Time    Version      Size    File name
   --------------------------------------------------
   10/13/2000  04:35p 5.0.3210.1300 459,536 Wininet.dll

				

其他可行方案

減少使用者是成員的群組數目。

狀況說明

Microsoft 已確認這是在 Microsoft Windows 2000 中的問題。

其他相關資訊

如需有關如何一次安裝 Windows 2000 和 Windows 2000 的 Hotfix 的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
249149安裝 Microsoft Windows 2000 和 Windows 2000 的 Hotfix
附註本文 < 解決方案 > 一節中所述的 Hotfix 會取代原本提供下列 「 Microsoft 知識庫 」 文件中的 Hotfix:
269643因為連線至 IIS 的不足,無法緩衝區的運作不到網際網路總管 Kerberos 驗證
警告如果您修改登錄不當使用 「 登錄編輯程式 」,或使用另一個方法,可能會發生嚴重的問題。這些問題可能會要求您重新安裝作業系統。Microsoft 無法保證可以解決這些問題。您必須自己承擔修改登錄所造成的風險。
此 Hotfix 提供您可以使用來增加 Kerberos 語彙基元大小的登錄參數。比方說增加到 65 KB 語彙基元會讓必須出現在 900 個以上的群組中的使用者。由於關聯的安全性識別元 (SID) 資訊到這個數字可能會有所不同。

若要設定這個參數執行下列:
  1. 啟動 「 登錄編輯程式 」 (Regedt32.exe)。
  2. 找出並按一下下列的登錄設定:
    System\\CurrentControlSet\\Control\\Lsa\\Kerberos\Parameters
  3. 在 [編輯] 功能表上按一下 [新增值],並再新增下列登錄值:
    數值名稱: MaxTokenSize
    資料型別: REG_DWORD
    基數: 十進位
    值的資料: 65535
  4. 結束 「 登錄編輯程式 」。
預設值為 MaxTokenSize 是 12000 十進位。Microsoft 建議您將此值設定為 65535 十進位,FFFF 十六進位。如果設定這個值不正確到 65535 的十六進位 (極大值),Kerberos 驗證作業可能會失敗,程式會傳回錯誤。 如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
297869SMS 系統管理員問題後您修改 Kerberos MaxTokenSize 登錄值
設定值,並更新電腦之後,重新啟動電腦。雖然您必須個別更新網域控制站,您可以使用 「 群組原則 」 設定來設定此值也已經更新的用戶端電腦。您必須在與此登錄修改網域設定所有的用戶端系統與伺服器,並更新系統與 Windows 2000 SP2 或 Hotfix。

如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件]:
313661FIX: 錯誤訊息: 當透過 TCP/IP 連線到 SQL Server 並 Kerberos MaxTokenSize 大於 0xFFFF 逾時到期 」 時發生
300367DCOM 用戶端的文件可能會放在網路上的記憶體
如需有關 Kerberos 語彙基元大小設定和支援 Windows 2000 中的,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
263693[群組原則可能不會套用到屬於多個群組的使用者

重製行為的步驟

  1. 建立一個 Windows NT 帳戶。
  2. 確定安裝 Active Directory,且設定整合式的驗證。
  3. 將帳戶新增至大約 100 不同群組。
  4. 建立第二個帳戶,並將其新增到三個群組。
結果:
第一個帳戶不能透過 http:// <servername>瀏覽,但第二個帳戶可以。
附註重現問題時,使用下列的指令碼從 reskit 使用 Creategroup.vbs:
CreateGroup.vbs from the resource kit is a viable method for doing so.
creategroup LDAP: DC=Domain,DC=Org,DC=Company,DC=com GroupName1
CN=administrator,CN=Users,DC=Domain,DC=Org,dc=Company,dc=com password
creategrp.log
...
					

屬性

文章編號: 277741 - 上次校閱: 2007年2月21日 - 版次: 5.7
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
關鍵字:?
kbmt kbautohotfix kbhotfixserver kbbug kbfix kbqfe KB277741 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:277741
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com