Probleme mit Kerberos-Authentifizierung, wenn ein Benutzer mehreren Gruppen angehört

Artikel-ID: 327825 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Maschinell übersetzter ArtikelHinweis: Dies ist ein maschinell übersetzter Artikel.
Unterstützung für Windows Vista Service Pack 1 (SP1) endet am 12 Juli 2011. Um weiterhin Sicherheitsupdates für Windows zu erhalten, stellen Sie sicher, dass Sie Windows Vista mit Service Pack 2 (SP2) ausführen. Weitere Informationen finden Sie in der Microsoft-Webseite: Die Unterstützung läuft für einige Versionen von Windows
(http://windows.microsoft.com/en-us/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs)
.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn ein Benutzer mehreren Gruppen angehört, kann dieser Benutzer Probleme mit Authentifizierung oder mit Gruppenrichtlinien Einstellungen haben. Diese Symptome noch ausführlicher wird die folgenden Artikeln der Microsoft Knowledge Base beschrieben:

269643
(http://support.microsoft.com/kb/269643/ )
Internet Explorer Kerberosauthentifizierung funktioniert nicht wegen einer unzureichenden Herstellen einer Verbindung mit IIS Puffer
280380
(http://support.microsoft.com/kb/280380/ )
Pufferüberlauf möglich mit erweiterten gespeicherten Prozeduren
2020943
(http://support.microsoft.com/kb/2020943/ )
Fehlermeldung "HTTP 400 - Request Bad (Request Header lang)" in Internet Information Services (IIS)
Die Auflösung, die in diesen Artikeln beschriebenen weist Sie den MaxTokenSize Registrierungswert ändern. Diese Lösung wurde eine Verbesserung vorgenommen. Wenn Sie den Hotfix, der in diesem Artikel beschrieben wird verwenden, können Sie keinen Standardwert MaxTokenSize-Wert bearbeiten.

In diesem Artikel beschriebene Hotfix ersetzt die Hotfixes, die im Microsoft Knowledge Base-Artikeln beschrieben werden, die in diesem Abschnitt aufgeführt sind.
Zum Anfang | Ihr Feedback an uns

Ursache

Der Benutzer kann nicht authentifizieren, da das Kerberos-Token, das während der Authentifizierungsversuche generiert wird eine feste maximale Größe hat. Transporte wie remote Procedure Call (RPC) und HTTP verlassen sich auf den MaxTokenSize-Wert, wenn sie für die Authentifizierung Puffer reservieren möchten. In Windows 2000 (Originalversion) ist der MaxTokenSize-Wert 8.000 Byte. In Windows 2000 Service Pack 2 (SP2) und Windows Server 2003 ist der MaxTokenSize-Wert 12.000 Byte.

Kerberos verwendet das Feld Privilege Attribute Certificate (PAC) des Kerberos-Pakets in Active Directory-Gruppenmitgliedschaft Transport. Beginnend mit Windows Server 2012, gilt dies auch für Active Directory-Ansprüche Informationsfeld (Dynamic Access Control). Wenn gibt es viele Gruppenmitgliedschaften des Benutzers, und es werden viele Anträge für den Benutzer oder das Gerät, das verwendet wird, können diese Felder viel Platz im Paket belegen.

Wenn ein Benutzer Mitglied von mehr als 120 Gruppen ist, ist der Puffer, der durch den MaxTokenSize-Wert bestimmt ist nicht groß genug. Daher Benutzer nicht authentifizieren, und sie möglicherweise eine Fehlermeldung "nicht genügend Arbeitsspeicher". Bevor Sie den Hotfix, der in diesem Artikel beschrieben wird anwenden, wird jede Gruppe, die ein Benutzerkonto hinzugefügt wird, dieser Puffer um 40 Byte erhöht.

Hinweis In vielen Szenarios Windows NTLM-Authentifizierung erwartungsgemäß funktioniert. Das Kerberos-Authentifizierungsproblem ohne Analyse möglicherweise nicht angezeigt. Allerdings können Szenarios in denen Gruppenrichtlinieneinstellungen angewendet werden nicht erwartungsgemäß.
Zum Anfang | Ihr Feedback an uns

Lösung

Wichtig:  Um dieses Problem zu beheben, müssen Sie für alle Computer den MaxTokenSize Registrierungswert festlegen, die bei der Kerberos-Authentifizierung beteiligt sind. Dazu gehören die SQL Server-Clients. (Das heißt, hat der Registrierungsschlüssel auf jedem Computer festgelegt werden, die der Anforderung/Antwort-Fluss zusammenhängen. Daher ist ein SQL Server-Client eine Webanwendung benötigt, oder hat das Zugriffstoken des Benutzers an einen Back-End-SQL Server-Datenbank übergeben werden, muss des Registrierungsschlüssels auf dem SQL Server-Client-Computer SQL Server-Datenbank-Computer festgelegt werden, und auch die Client-Computer, auf denen Internet Explorer ausgeführt wird, der Webserver ausgeführt, läuft IISund so weiter.)

Hinweis Die folgenden Windows-Versionen enthalten ein Update für dieses Problem:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • WindowsServer 2003
  • Windows Vista
  • WindowsServer 2008
  • Windows XP Professional

Service Pack-Informationen

Um dieses Problem zu beheben, beziehen Sie das neueste Servicepack für Microsoft Windows 2000. Informationen klicken Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
260910
(http://support.microsoft.com/kb/260910/ )
Wie Sie das neueste Windows 2000 Servicepack erhalten

Hotfix-Informationen

Ein unterstützter Hotfix ist jetzt von Microsoft erhältlich. Es soll jedoch nur das Problem zu beheben, das in diesem Artikel beschrieben wird. Wenden Sie es nur auf Systemen, bei die dieses spezielle Problem auftritt. Dieser Hotfix wird möglicherweise weiteren Tests unterzogen. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir, dass Sie warten, bis das nächste Windows 2000-Dienst Pack, das diesen Hotfix enthält.

Um dieses Problem sofort beheben, wenden Sie sich an Microsoft Support Services, um den Hotfix zu erhalten. Eine vollständige Liste der Microsoft Product Support Services Telefonnummern und Informationen über Supportkosten finden Sie auf der folgenden Microsoft-Website:
http://support.Microsoft.com/contactus/?WS=Support
(http://support.microsoft.com/contactus/?ws=support)
Hinweis In besonderen Fällen können Gebühren, die normalerweise für Support-Anrufe anfallen abgebrochen werden, wenn ein Microsoft-Supportmitarbeiter feststellt, dass ein bestimmtes Update Ihr Problem beheben kann. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die für das betreffende Update nicht qualifizieren.Die englische Version dieses Hotfixes weist Dateiattribute (oder neuere Attribute) auf, die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien werden in Coordinated Universal Time (UTC) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, wird es in die lokale Ortszeit konvertiert. Den Unterschied zwischen UTC- und Ortszeit verwenden, um die Zeitzone Registerkarte unter Datum und Uhrzeit in der Systemsteuerung.
Zum Anfang | Ihr Feedback an uns

Status

Microsoft hat bestätigt, dass dies ein Problem in der Microsoft-Produkte, die aufgeführt sind im Abschnitt "Gilt für". Dieses Problem wurde erstmals in Microsoft Windows 2000 Service Pack 4 behoben.
Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Token Sie-Größe Berechnung Windows 2000 auf Windows Server 2008 R2

Wenn Sie den Hotfix, der in diesem Artikel beschrieben wird verwenden, müssen Sie keinen den MaxTokenSize Registrierungswert in den meisten Fällen zu ändern. Es gibt jedoch einige Szenarien in dem Sie den MaxTokenSize Registrierungswert zu ändern, nachdem Sie diesen Hotfix anwenden müssen. Nachdem Sie diese anwenden Hotfix auf allen Domänencontrollern, die folgende Formel verwenden, um zu bestimmen Gibt an, ob müssen Sie den MaxTokenSize-Wert zu ändern:
TokenSize = 1200 + 40 d + 8 s
Diese Formel verwendet die folgenden Werte:
  • d: die Anzahl der Gruppen der lokalen Domäne, die, denen ein Benutzer Mitglied ist, plus die Anzahl der universellen Gruppen außerhalb der Domäne des Benutzerkontos, das der Benutzer angehört, plus die Anzahl der Gruppen dargestellt Sicherheits-ID (SID)-Verlauf.
  • s: die Anzahl von globalen Sicherheitsgruppen, denen ein Benutzer Mitglied ist außerdem die Anzahl der universellen Gruppen in einer Domäne des Benutzerkontos, das der Benutzer Mitglied ist.
  • 1200: Der geschätzte Wert für Ticket-Overhead. Dieser Wert kann variieren, abhängig von Faktoren wie die Länge von DNS-Domänennamen, Clientnamen und anderen Faktoren.
In Szenarien, in denen Delegierung verwendet wird (z. B. wenn Benutzer zu einem Domänencontroller authentifizieren), empfehlen wir, dass Sie die token-Größe verdoppeln.

Wenn der Registrierungseintrag festgelegt

Wenn die token-Größe, die Sie mit dieser Formel berechnen weniger als 12.000 Byte (Standardgröße) ist, müssen Sie keinen den MaxTokenSize Registrierungswert auf Domänenclients zu ändern. Wenn der Wert ist mehr als 12.000 Byte finden Sie unter der folgenden Microsoft Knowledge Base-Artikel für eine Beschreibung der Verwendung den MaxTokenSize Registrierungswert anpassen:

263693
(http://support.microsoft.com/kb/263693/ )
Gruppenrichtlinien möglicherweise nicht auf angewendet werden Benutzer, die vielen Gruppen angehören

Hinweise
  • Wenn Sie den MaxTokenSize-Wert ändern, müssen den Computer neu, damit die Änderung wirksam wurde.
Empfohlene Maximalwert ist 65535 dezimal oder hexadezimal FFFF. Der MaxTokenSize-Wert gibt an, eine feste Kerberos-Ticket empfangen Puffer, enthält die SIDs, die die Gruppen in dem das Konto angehört darstellen. Später, generiert der lokalen Sicherheitsautorität (LSA)-Dienst das Token aus dieser SID-Puffer. Die hartcodierte Begrenzung des Kunden definierbare SIDs für dieses Token 1,015 ist, finden Sie in diesem KB-Artikel:
328889 Benutzer, die Mitglieder von Gruppen mit mehr als 1015 sind möglicherweise Anmeldeauthentifizierung fehl.
http://support.Microsoft.com/kb/328889/en-US
(http://support.microsoft.com/kb/328889/EN-US)


Aus diesem Grund ist ein MaxTokenSize-Wert für mehr als 1015 effektive SIDs nicht sinnvoll. In der folgenden Formel:
MaxTokenSize = 8 1200 + 40 d + s
40 d bedeutet, dass Sie 40 Bytes für ein Domänen-SID der lokalen Gruppe. 8 s bedeutet 8 Bytes für eine Domäne Global/universelle Gruppe-SID.

Aus diesem Grund haben Sie einen MaxTokenSize-Wert des 0x0000FFFF (64 KB), um ca. 1600 Domäne lokale Gruppen-SIDs oder etwa die 8000 Domäne Global/universelle Gruppen-SIDs Puffer möglicherweise. Wenn Sie "für Delegierungszwecke vertraut"-Konten verwenden, kann die Anforderung Puffer für jede SID verdoppelt. In diesen Szenarien können Sie ungefähr 800 Domäne lokale Gruppen-SIDs nur speichern, wenn ein MaxTokenSize-Wert von 64 K verwendet wird. Nur Domäne lokale Gruppen-SIDs haben ist jedoch nicht in einem typischen Szenario. Ein Wert von 64 KB sollte auch für Delegierungsszenarien ausreichen.

Windows Server 2012-Änderungen

Windows Server 2012 wurden folgenden Änderungen der Überlegungen zu diesen Puffer eingeführt:
  • Die Standardeinstellung für MaxTokenSize geändert auf 48.000 Bytes.
  • Es wird ein neues Schema für die Komprimierung von sids im PAC
  • Dynamische Zugriffssteuerung fügt Active Directory-Ansprüche auf das Ticket. Aus diesem Grund ist die Berechnung der erwarteten Ticket-Größen nicht mehr einfach. Erwartet wird, dass die Karten, die von Domänencontrollern Windows Server 2012 ausgestellt werden kleiner als die gleichen Tickets, die von älteren Versionen des Betriebssystems ausgegeben werden. Ansprüche hinzufügen auf die Ticketgröße. Nach dem Dateiserver Windows Server 2012 weitgehend Ansprüche verwenden, erwarten Sie Auslaufen eine große Anzahl von Gruppen, die steuern, Dateizugriff Ticket Größe zuschneiden.

Weitere Informationen zu Windows Server 2012-Änderungen finden Sie auf der folgenden Microsoft TechNet-Website:
http://technet.Microsoft.com/en-us/library/hh831717.aspx
(http://technet.microsoft.com/en-us/library/hh831717.aspx)


Beispiele für Probleme, wenn die Ticketgröße überschritten wird

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
277741
(http://support.microsoft.com/kb/277741/ )
Internet Explorer-Anmeldung schlägt wegen eines unzureichenden Puffers für Kerberos
313661
(http://support.microsoft.com/kb/313661/ )
Fehlermeldung: "Zeitüberschreitung" tritt auf, wenn Sie eine mit SQL Server über TCP/IP Verbindung und das Kerberos MaxTokenSize größer als 0xFFFF ist

Da Sie in Ihrer Gesamtstruktur domänenübergreifende Anmeldung Szenarien möglicherweise, sollte der Wert gesamtstrukturweite auf allen Windows-basierten Systemen festgelegt. Aus diesem Grund empfehlen wir, dass der maximale Wert für den MaxTokenSize-Wert 64 KB sein.

Wichtig: Auf SQL Server-Clients erhalten Sie die folgende Fehlermeldung angezeigt, wenn dieses Problem auftritt:
SSPI-Kontext kann nicht generiert werden.
Um dieses Problem zu beheben, müssen Sie für alle Computer den MaxTokenSize Registrierungswert festlegen, die bei der Kerberos-Authentifizierung beteiligt sind. Dazu gehören die SQL Server-Clients.

Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 327825 - Geändert am: Mittwoch, 20. Februar 2013 - Version: 5.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
Keywords: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 327825
(http://support.microsoft.com/kb/327825/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang