Zaloguj si�

Select the product you need help with

Problemy z uwierzytelnianiem Kerberos, gdy u�ytkownik nale�y do wielu grup

Numer ID artyku�u: 327825 - Zobacz jakich produkt�w dotycz� zawarte w tym artykule porady.

WA�NE: TEN ARTKU� ZOSTA� PRZET�UMACZONY MASZYNOWO

Kliknij tutaj, aby wy�wietli� obok siebie artyku� przet�umaczony maszynowo i oryginalny artyku� w j�zyku angielskim

Obs�uga systemu Windows Vista Service Pack 1 (SP1) up�ywa z dniem 12 lipca 2011 roku. Aby w dalszym ci�gu otrzymywa� aktualizacje zabezpiecze� dla systemu Windows, upewnij si�, �e u�ywasz system Windows Vista z dodatkiem Service Pack 2 (SP2). Aby uzyska� wi�cej informacji nale�y zapozna� si� z tej strony sieci Web firmy Microsoft: Pomoc ko�czy si� dla niekt�rych wersji systemu Windows
(http://windows.microsoft.com/en-us/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs)
.

Rozwi� wszystko | Zwi� wszystko

Na tej stronie

Symptomy

Gdy u�ytkownik nale�y do wielu grup, u�ytkownik mo�e mie� problemy z uwierzytelnianiem lub z ustawienia zasady grupy. Nast�puj�ce artyku�y z bazy wiedzy Microsoft Knowledge Base opisano te objawy bardziej szczeg�owo:

269643

(http://support.microsoft.com/kb/269643/ )

Internet Explorer uwierzytelnianie Kerberos nie dzia�a ze wzgl�du na niewystarczaj�ce Bufor po��czenie internetowe us�ugi informacyjne

280380

(http://support.microsoft.com/kb/280380/ )

Wykorzysta� przepe�nienie bufora mo�liwe z rozszerzonych procedur przechowywanych

2020943

(http://support.microsoft.com/kb/2020943/ )

"HTTP 400 - Niew�a�ciwe ��danie (��danie nag��wka zbyt d�ugo)" B��d w programie Internet Information Services (IIS)

Rozdzielczo��, opisana w tych artyku�ach powoduje, �e mo�na zmodyfikowa� warto�� rejestru MaxTokenSize. Poprawa nast�pi�a niniejsz� rezolucj�. Je�li u�ywasz poprawk�, opisan� w niniejszym artykule, mo�e nie nale�y edytowa� MaxTokenSize warto�� domy�ln�.

Poprawka opisana w tym artykule zast�puje poprawki opisane w artyku�ach bazy wiedzy Microsoft Knowledge Base, kt�re s� wymienione w tej sekcji.

Powr�t na g�r� | Przeka� opini�

Przyczyna

Nie mo�e uwierzytelni� u�ytkownika, poniewa� tokenu Kerberos, kt�ry jest generowany podczas pr�b uwierzytelnienia ma sta�y rozmiar maksymalny. Transportu, takich jak zdalne wywo�anie procedury (RPC) i HTTP polegaj� na MaxTokenSize warto��, gdy one przydzieli� bufory dla uwierzytelniania. W systemie Windows 2000 (oryginalna wersja) warto�� MaxTokenSize jest 8000 bajt�w. W dodatku Service Pack 2 (SP2) dla systemu Windows 2000 i Windows Server 2003 warto�� MaxTokenSize jest 12 000 bajt�w.

Kerberos u�ywa pola certyfikatu atrybut przywilej (PAC) pakietu Kerberos do transportu cz�onkostwo w grupie us�ugi Active Directory. Pocz�wszy od systemu Windows Server 2012, dotyczy to r�wnie� do roszcze� Active Directory w polu information (dynamicznej kontroli dost�pu). Je�li istnieje wiele cz�onkostw grup dla u�ytkownika, i je�li istnieje wiele o�wiadcze� dla u�ytkownika lub urz�dzenia, kt�ry jest u�ywany, pola te mog� zajmowa� du�o miejsca w pakiecie.

Je�li u�ytkownik jest cz�onkiem grupy wi�cej ni� 120, bufor, kt�ry jest okre�lony przez warto�� MaxTokenSize nie jest wystarczaj�co du�y. Dlatego nie mog� uwierzytelnia� u�ytkownik�w i mo�e zosta� wy�wietlony komunikat o b��dzie "Brak pami�ci". Przed zastosowaniem poprawki, kt�r� opisano w tym artykule, bufor ka�dej z grup, kt�re jest dodawane do konta u�ytkownika zwi�ksza si� o 40 bajt�w.

Uwaga W wielu scenariuszach uwierzytelnianie Windows NTLM dzia�a zgodnie z oczekiwaniami. Nie wida� problem uwierzytelnianie Kerberos bez analizy. Jednak�e scenariusze, w kt�rych stosowane s� ustawienia zasady grupy mo�e nie dzia�a� zgodnie z oczekiwaniami.

Powr�t na g�r� | Przeka� opini�

Rozwi�zanie

Wa�ne�Aby rozwi�za� ten problem, nale�y ustawi� warto�� rejestru MaxTokenSize dla wszystkich komputer�w, kt�re s� zaanga�owane w proces uwierzytelniania Kerberos. Dotyczy to klient�w programu SQL Server.�(Klucz rejestru ma ma by� ustawiony na ka�dym komputerze, kt�ry jest zaanga�owany w strumieniu ��dania i odpowiedzi. W zwi�zku z tym czy klient programu SQL Server, na kt�rym opiera si� aplikacji sieci web lub tokenu u�ytkownika musi zosta� przekazane do wewn�trznej bazy danych programu SQL Server, klucz rejestru ma ma by� ustawiony na komputerze klienta programu SQL Server, komputer bazy danych programu SQL Server, a tak�e komputer kliencki, na kt�rym jest uruchomiony program Internet Explorer, serwer sieci web z systemem, kt�ry dzia�a program IISitd.)

Uwaga Nast�puj�ce wersje systemu Windows zawieraj� poprawk� dotycz�c� tego problemu:

Windows 8
Windows Server 2012
Windows 7
Windows Server 2008 R2
Windows Server 2003
system Windows Vista
Windows Server 2008
System Windows XP Professional

Informacje dotycz�ce Service pack

Aby rozwi�za� ten problem, nale�y uzyska� najnowszy dodatek service pack dla programu Microsoft Windows 2000. Aby uzyska� wi�cej informacji kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:

260910

(http://support.microsoft.com/kb/260910/ )

Jak uzyskanie najnowszego dodatku service pack dla systemu Windows 2000

Informacje o poprawce

Obs�ugiwana poprawka jest teraz udost�pniana przez firm� Microsoft. Jednak jest ona przeznaczona do usuni�cia tylko problemu opisanego w tym artykule. Zastosowa� go tylko w systemach, w kt�rych wyst�puje ten problem. Ta poprawka mo�e by� dodatkowo testowana. W zwi�zku z tym je�eli dany system nie jest powa�nie nara�ony na ten problem, firma Microsoft zaleca poczekanie na nast�pny us�uga systemu Windows 2000 dodatkiem Service Pack zawieraj�cy t� poprawk�.

Aby natychmiast rozwi�za� ten problem, skontaktuj si� z biurem obs�ugi klienta Microsoft w celu uzyskania poprawki. Aby uzyska� pe�n� list� numer�w telefon�w pomocy technicznej firmy Microsoft oraz informacje o kosztach przejd� do nast�puj�cej witryny firmy Microsoft:

http://support.microsoft.com/contactus/?ws=support

(http://support.microsoft.com/contactus/?ws=support)

Uwaga W wyj�tkowych przypadkach op�aty, kt�re s� zwykle naliczane za telefoniczn� pomoc techniczn� mog� zosta� anulowane, je�li pracownik profesjonalnego wsparcia firmy Microsoft stwierdzi, �e okre�lona aktualizacja mo�e rozwi�za� problem. Koszty obs�ugi zwyk�e zastosuje si� do dodatkowych pyta� i problem�w, kt�re nie kwalifikuj� si� do okre�lonej aktualizacji.Wersja angloj�zyczna tej poprawki ma atrybuty plik�w (lub nowsze) wymieniono w poni�szej tabeli. Daty i godziny odpowiadaj�ce tym plikom s� wymienione w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Podczas przegl�dania informacji o pliku, jest konwertowany na czas lokalny. Aby zobaczy� r�nic� mi�dzy czasem UTC i czasem lokalnym, nale�y u�y� Strefa czasowa Karta w aplecie Data i godzina w Panelu sterowania.

Powr�t na g�r� | Przeka� opini�

Stan

Microsoft potwierdzi�a, �e jest to problem wyst�puj�cy w produktach firmy Microsoft, kt�re s� wymienione w sekcji "Dotyczy". Ten problem zosta� po raz pierwszy rozwi�zany w dodatku Service Pack 4 dla systemu Microsoft Windows 2000.

Powr�t na g�r� | Przeka� opini�

Wi�cej informacji

Token rozmiar oblicze� Windows 2000 do systemu Windows Server 2008 R2

Je�eli nale�y zastosowa� poprawk� opisan� w tym artykule, nie trzeba modyfikowa� warto�ci rejestru MaxTokenSize, w wi�kszo�ci przypadk�w. Istniej� jednak pewne scenariusze w kt�rych nale�y zmodyfikowa� warto�� rejestru MaxTokenSize, po zastosowaniu tej poprawki. Po zastosowaniu tego poprawki do wszystkich kontroler�w domeny, skorzysta� z nast�puj�cej formu�y do okre�lenia czy nale�y zmodyfikowa� warto�� MaxTokenSize:

TokenSize = 1200 + 40 d + cyfr�

Ta formu�a u�ywa nast�puj�cych warto�ci:

d: liczb� grup lokalnych w domenie u�ytkownika jest cz�onkiem plus liczba grup uniwersalnych poza domen� konta u�ytkownika, kt�ry u�ytkownik jest cz�onkiem plus liczba grup zabezpiecze� reprezentowane historii Identyfikatora (SID).
s: Liczba globalnych grup zabezpiecze�, kt�re u�ytkownik jest cz�onkiem oraz liczb� grup uniwersalnych w domenie konta u�ytkownika, kt�ry u�ytkownik jest cz�onkiem.
1200: Warto�� szacunkowa napowietrznych biletu. Tej warto�ci mog� si� r�ni� w zale�no�ci od czynnik�w takich jak d�ugo�� nazwy domeny DNS, nazwy klienta i innych czynnik�w.

W scenariuszach, w kt�rych delegacji jest u�ywany (na przyk�ad, gdy u�ytkownicy s� uwierzytelniani na kontroler domeny) zaleca si�, �e dwukrotnie rozmiaru �etonu.

Kiedy nale�y ustawi� warto�� wpisu rejestru

Je�li rozmiar tokenu, kt�ry mo�na obliczy� za pomoc� nast�puj�cej formu�y jest mniej ni� 12 000 bajt�w (domy�lny rozmiar), nie trzeba modyfikowa� warto�ci rejestru MaxTokenSize na klient�w domeny. Je�li warto�� jest wi�cej ni� 12 000 bajt�w, zobacz nast�puj�cy artyku� bazy wiedzy Microsoft Knowledge Base dla Opis sposobu korygowania warto�ci rejestru MaxTokenSize:

263693

(http://support.microsoft.com/kb/263693/ )

Zasady grupy nie mog� by� stosowane do U�ytkownicy nale��cy do wielu grup

Notatki

Po zmianie MaxTokenSize warto�� tak, aby zmiana b�dzie obowi�zywa� nale�y ponownie uruchomi� komputer.

Zalecana maksymalna warto�� to 65535 dziesi�tn� lub szesnastkow� FFFF. MaxTokenSize warto�� Okre�la sta�e biletu Kerberos otrzymuj� buforu, kt�ry zawiera identyfikatory SID, kt�re reprezentuj� grupy, kt�rych cz�onkiem jest konto. P�niej us�uga Urz�d zabezpiecze� lokalnych (LSA) generuje token ten bufor identyfikator�w SID. Limit zakodowane klienta definiowalne identyfikator�w SID dla token ten jest 1,015, zobacz ten artyku� bazy wiedzy:
328889 U�ytkownik�w, kt�rzy s� cz�onkami grup ponad 1,015 mo�e Niepowodzenie uwierzytelnienia logowania
http://support.microsoft.com/kb/328889/en-us

(http://support.microsoft.com/kb/328889/EN-US)

Dlatego MaxTokenSize warto�� dla wi�cej ni� 1015 skuteczne identyfikator�w SID nie jest u�yteczne. W nast�puj�cej formule:

MaxTokenSize = 1200 + 40 d + cyfr�

40 d oznacza, �e masz 40 bajt�w dla identyfikatora SID grupy lokalne domeny. cyfr� oznacza 8 bajt�w dla identyfikatora SID grupy globalnej/Universal domeny.

Dlatego je�li masz MaxTokenSize warto�� 0x0000FFFF (64 K), mo�na buforu oko�o 1600 domeny lokalnej grupy SID lub oko�o 8000 domeny globalny/uniwersalny grupy SID. Je�li u�ywasz konta "zaufany dla delegowania", mo�e zosta� podwojony wym�g buforu dla ka�dego identyfikatora SID. W tych scenariuszach mo�na przechowywa� tylko oko�o 800 Domain SID grupy lokalnych u�yto MaxTokenSize warto�� 64 K. Jednak�e posiadanie tylko domeny lokalnej grupy SID nie jest typowy scenariusz. Warto�� 64 K powinna wystarczy� nawet w scenariuszach delegowania.

Windows Server 2012 zmiany

Windows Server 2012 wprowadzono nast�puj�ce zmiany do zagadnienia dotycz�ce tego buforu:

Zmienia domy�lne dla MaxTokenSize do 48 000 bajt�w.
Jest nowy schemat kompresji identyfikatory SID w SAW.
Dynamiczna kontrola dost�pu dodaje Active Directory roszcze� biletu. W zwi�zku z tym obliczania wielko�ci oczekiwanej biletu nie jest ju� proste. Oczekuje si�, �e bilety, kt�re s� wystawiane przez kontrolery domeny systemu Windows Server 2012 s� mniejsze ni� sam bilety, kt�re s� wystawiane przez starsze wersje systemu operacyjnego. Roszczenia zwi�kszaj� rozmiar biletu. Jednak po serwery plik�w systemu Windows Server 2012 jest szeroko u�ywany roszcze�, mo�na spodziewa� si� wycofywa� znacznej liczby grup kontroluj�ce dost�p do przyci�cia bilet rozmiary plik�w.

Aby uzyska� wi�cej informacji o zmianach 2012 serwera systemu Windows przejd� do nast�puj�cej witryny sieci Web Microsoft TechNet:

http://technet.microsoft.com/en-us/library/hh831717.aspx

(http://technet.microsoft.com/en-us/library/hh831717.aspx)

Przyk�ady problem�w po przekroczeniu rozmiaru biletu

Aby uzyska� wi�cej informacji kliknij nast�puj�ce numery artyku��w w celu wy�wietlenia tych artyku��w z bazy wiedzy Microsoft Knowledge Base:

277741

(http://support.microsoft.com/kb/277741/ )

Program Internet Explorer logowanie nie powiedzie si� z powodu niewystarczaj�cego buforu, protok� Kerberos

313661

(http://support.microsoft.com/kb/313661/ )

Komunikat o b��dzie: "Up�yn�� limit czasu" wyst�puje, gdy ��czysz si� do programu SQL Server przez TCP/IP i Kerberos MaxTokenSize jest wi�ksza ni� 0xFFFF

Poniewa� mo�e mie� scenariuszy logowania mi�dzy domenami w lesie, warto�� nale�y ustawi� lasu we wszystkich systemach opartych na systemie Windows. Dlatego zaleca si�, �e warto�� maksymalna dla warto�ci MaxTokenSize by� 64 K.

Wa�ne Na komputerach klienckich programu SQL Server mo�e otrzyma� nast�puj�cy komunikat o b��dzie po wyst�pieniu tego problemu:

Nie mo�na wygenerowa� kontekstu SSPI

Aby rozwi�za� ten problem, nale�y ustawi� warto�� rejestru MaxTokenSize dla wszystkich komputer�w, kt�re s� zaanga�owane w proces uwierzytelniania Kerberos. Dotyczy to klient�w programu SQL Server.

Powr�t na g�r� | Przeka� opini�

W�a�ciwo�ci

Numer ID artyku�u: 327825 - Ostatnia weryfikacja: 20 lutego 2013 - Weryfikacja: 3.0

Informacje zawarte w tym artykule dotycz�:

Microsoft Windows XP Professional
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 Service Pack 2
Windows Vista Business
Windows Vista Enterprise
Windows Vista Ultimate
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Web Server 2008
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Foundation
Windows Server 2008 R2 Standard
Windows 7 Enterprise
Windows 7 Professional
Windows 7 Ultimate
Windows Server 2012 Datacenter
Windows Server 2012 Essentials
Windows Server 2012 Foundation
Windows Server 2012 Standard
Windows 8 Enterprise
Windows 8 Pro
Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Datacenter x64 Edition
Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Enterprise x64 Edition
Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
Microsoft Windows Server 2003 R2 Standard x64 Edition

kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtpl

Przet�umaczone maszynowo

WA�NE: Ten artyku� nie zosta� przet�umaczony przez cz�owieka, tylko przez oprogramowanie do t�umaczenia maszynowego firmy Microsoft. Firma Microsoft oferuje zar�wno artyku�y t�umaczone przez ludzi, jak i artyku�y t�umaczone maszynowo, dzi�ki czemu ka�dy u�ytkownik mo�e uzyska� dost�p do ca�ej zawarto�ci bazy wiedzy Knowledge Base we w�asnym j�zyku. Prosimy jednak pami�ta�, �e artyku�y przet�umaczone maszynowo nie zawsze s� doskona�e. Mog� zawiera� b��dy s�ownictwa, sk�adni i gramatyki, przypominaj�ce b��dy robione przez osoby, dla kt�rych j�zyk u�ytkownika nie jest j�zykiem ojczystym. Firma Microsoft nie odpowiada za wszelkie nie�cis�o�ci, b��dy lub szkody spowodowane nieprawid�owym t�umaczeniem zawarto�ci oraz za wykorzystanie tej zawarto�ci przez klient�w. Oprogramowanie do t�umaczenia maszynowego jest cz�sto aktualizowane przez firm� Microsoft.

Angloj�zyczna wersja tego artyku�u to: 327825

(http://support.microsoft.com/kb/327825/en-us/ )

Powr�t na g�r� | Przeka� opini�