Probleme mit Kerberos-Authentifizierung, wenn ein Benutzer mehreren Gruppen angehört.

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 327825 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Unterstützung für Windows Vista Service Pack 1 (SP1) endet am 12. Juli 2011. Um weiterhin Sicherheitsupdates für Windows zu erhalten, stellen Sie sicher, dass Sie Windows Vista mit Service Pack 2 (SP2) ausführen. Weitere Informationen finden Sie in der Microsoft-Webseite: Die Unterstützung läuft für einige Versionen von Windows.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn ein Benutzer mehreren Gruppen angehört, kann dieser Benutzer mit Authentifizierung oder mithilfe von Gruppenrichtlinieneinstellungen Probleme auftreten. Die folgenden Microsoft Knowledge Base-Artikel wird diese Symptome noch ausführlicher beschrieben:

269643 Internet Explorer Kerberos Authentifizierung funktioniert wegen eines unzureichenden Puffers Herstellen einer Verbindung mit IIS
280380 Pufferüberlauf mit erweiterten gespeicherten Prozeduren
2020943 "HTTP 400 - Anforderung fehlerhaft (Anfrage-Header zu lang)" Fehlermeldung in Internet Information Services (IIS)
Die Auflösung, die in diesen Artikeln beschriebenen weist Sie den MaxTokenSize Registrierungswert ändern. Diese Lösung wurde eine Verbesserung vorgenommen. Wenn Sie den Hotfix, der in diesem Artikel beschrieben wird verwenden, müssen Sie nicht den Standardwert MaxTokenSize zu bearbeiten.

In diesem Artikel beschriebene Hotfix ersetzt die Hotfixes, die im Microsoft Knowledge Base-Artikeln beschrieben werden, die in diesem Abschnitt aufgeführt sind.

Ursache

Der Benutzer kann nicht authentifiziert werden, da das Kerberos-Token, das während der Authentifizierungsversuche generiert wird eine feste maximale Größe hat. Transporte, z. B. Remoteprozeduraufruf (RPC) und HTTP basieren auf den MaxTokenSize-Wert, wenn sie für die Authentifizierung Puffer reservieren möchten. In Windows 2000 (Originalversion) ist der MaxTokenSize-Wert 8.000 Byte. In Windows 2000 Service Pack 2 (SP2) und Windows Server 2003 ist der MaxTokenSize-Wert 12.000 Byte.

Kerberos verwendet das Feld Privilege Attribute Certificate (PAC) des Kerberos-Pakets in Active Directory-Gruppenmitgliedschaft Transport. Beginnend mit Windows Server 2012, gilt dies auch für die Ansprüche der Active Directory-Informationsfeld (Dynamic Access Control). Wenn viele Gruppenmitgliedschaften des Benutzers vorhanden sind und es gibt viele Ansprüche für den Benutzer oder das Gerät, das verwendet wird, können diese Felder viel Platz im Paket belegen.

Wenn ein Benutzer Mitglied von mehr als 120 Gruppen ist, ist der Puffer, der durch den MaxTokenSize-Wert bestimmt ist nicht groß genug. Aus diesem Grund Benutzer nicht authentifizieren, und erhalten sie eine Fehlermeldung "nicht genügend Arbeitsspeicher". Bevor Sie den Hotfix, der in diesem Artikel beschrieben wird anwenden, erhöht, da jeder Gruppe, die ein Benutzerkonto hinzugefügt wird dieser Puffer 40 Byte.

Hinweis In vielen Szenarien funktioniert Windows NTLM-Authentifizierung, wie erwartet. Das Kerberos-Authentifizierungsproblem ohne Analyse möglicherweise nicht angezeigt. Allerdings können Szenarios in denen Gruppenrichtlinieneinstellungen angewendet werden nicht erwartungsgemäß.

Lösung

Wichtig: Um dieses Problem zu beheben, müssen Sie für alle Computer den MaxTokenSize Registrierungswert festlegen, die bei der Kerberos-Authentifizierung beteiligt sind. Dies umfasst die SQL Server-Clients.(D. h. der Registrierungsschlüssel auf den einzelnen Computern festgelegt werden, die Teil der Anforderung/Antwort-Fluss ist hat. Daher ist ein SQL Server-Client, den eine Webanwendung verwendet, oder hat das Zugriffstoken des Benutzers an einen Back-End-SQL Server-Datenbank übergeben werden, muss des Registrierungsschlüssels auf dem Client-Computer mit SQL Server den SQL Server-Datenbank-Computer festgelegt werden, und auch die Client-Computer, auf dem Internet Explorer ausgeführt wird, der Webserver, der mit läuft IISund so weiter.)

Hinweis Die folgenden Windows-Versionen enthalten ein Update für dieses Problem:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • WindowsServer 2003
  • Windows Vista
  • WindowsServer 2008
  • Windows XP Professional

Service Pack-Informationen

Um dieses Problem zu beheben, beziehen Sie das neueste Servicepack für Microsoft Windows 2000. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
260910 Wie Sie das neueste Windows 2000 Service Pack erhalten

Hotfix-Informationen

Ein unterstützter Hotfix ist jetzt von Microsoft erhältlich. Es soll jedoch nur das Problem beheben, das in diesem Artikel beschrieben wird. Wenden Sie es nur auf Systemen, bei die dieses spezielle Problem auftritt. Dieser Hotfix wird möglicherweise weiteren Tests unterzogen. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfiehlt Microsoft daher, auf das nächste Windows 2000 Servicepack zu warten, das diesen Hotfix enthält.

Um dieses Problem sofort beheben, wenden Sie sich an Microsoft Support Services, um den Hotfix zu erhalten. Eine vollständige Liste der Telefonnummern des Microsoft Product Support Services und Informationen über Supportkosten finden Sie auf der folgenden Microsoft-Website:
http://support.Microsoft.com/contactus/?WS=Support
Hinweis In besonderen Fällen können Gebühren, die normalerweise für Support-Anrufe anfallen abgebrochen werden, wenn ein Microsoft-Supportmitarbeiter feststellt, dass ein bestimmtes Update Ihr Problem beheben kann. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die für das betreffende Update nicht qualifizieren.Die englische Version dieses Hotfixes weist Dateiattribute (oder neuere Attribute) auf, die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien werden in Coordinated Universal Time (UTC) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, wird es in die lokale Ortszeit konvertiert. Um die Zeitverschiebung zwischen UTC-Zeit und lokaler Zeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.

Status

Microsoft hat bestätigt, dass dieses Problem auf die im Abschnitt "Gilt für" aufgeführten Microsoft-Produkten zutrifft. Dieses Problem wurde erstmals in Microsoft Windows 2000 Service Pack 4 behoben.

Weitere Informationen

Token Sie-Größe Berechnung Windows 2000 auf Windows Server 2008 R2

Wenn Sie den Hotfix, der in diesem Artikel beschrieben wird verwenden, haben Sie nicht den MaxTokenSize Registrierungswert in den meisten Fällen ändern. Es gibt jedoch einige Szenarien, in denen Sie den MaxTokenSize Registrierungswert ändern, nachdem Sie diesen Hotfix angewendet haben. Nachdem Sie diesen Hotfix auf allen Domänencontrollern anwenden, verwenden Sie folgende Formel, um festzustellen, ob Sie den MaxTokenSize-Wert ändern müssen:
TokenSize = 1200 + 40 d + 8 s
Diese Formel verwendet die folgenden Einstellungen:
  • d: die Anzahl der lokalen Domänengruppen, denen ein Benutzer Mitglied ist sowie die Anzahl der universellen Gruppen außerhalb der Domäne des Benutzerkontos, das der Benutzer ein Mitglied ist plus die Anzahl der Gruppen dargestellt Sicherheits ID (SID)-Verlauf.
  • s: die Anzahl von globalen Sicherheitsgruppen, denen ein Benutzer Mitglied ist sowie die Anzahl der universellen Gruppen in einer Domäne des Benutzerkontos, das der Benutzer ein Mitglied ist.
  • 1200: den geschätzten Wert für Ticket-Overhead. Dieser Wert kann abhängig von Faktoren wie Länge von Domänennamen für DNS-Clientnamen und anderen Faktoren variieren.
In Szenarien in denen Delegierung verwendet wird (beispielsweise, wenn der Benutzer auf einen anderen Domänencontroller authentifiziert), empfiehlt es sich, dass Sie die token-Größe verdoppeln.

Wenn der Registrierungseintrag festgelegt

Wenn die token-Größe, die Sie mit dieser Formel berechnen weniger als 12.000 Byte (Standardgröße) ist, haben Sie nicht den MaxTokenSize Registrierungswert auf Domänenclients ändern. Wenn der Wert mehr als 12.000 Byte ist, finden Sie unter den folgenden Microsoft Knowledge Base-Artikel eine Beschreibung den MaxTokenSize Registrierungswert anpassen:

263693 Gruppenrichtlinie kann nicht angewendet werden, für Benutzer, die vielen Gruppen angehören

Hinweise
  • Wenn Sie den MaxTokenSize-Wert ändern, müssen Sie den Computer starten, damit die Änderung wirksam wurde.
Der empfohlene Wert für den Registrierungseintrag MaxTokenSize ist 65535 dezimal oder hexadezimal FFFF. Der MaxTokenSize-Wert gibt an, einen festen Kerberos-Ticket empfangen Puffer mit den SIDs, die die Gruppen, in denen das Konto angehört, darstellen.

Um eine sichere Größe zu verwenden, können Sie für 48000, MaxTokenSize festzulegen, nach der Diskussion über eine Beschränkung von HTTP-Header-Größe in diesem Artikel eingeführt. Je nachdem, welchen Wert Sie verwenden, zunächst ein Problem mit der Kerberos-Fehlerereignisse oder IIS HTTP 400-Fehler auftreten.

Bekannte Probleme, die auftreten können

Bekannte Probleme bei der Access-Token-Größe:

Der Dienst der lokalen Sicherheitsautorität (LSA) generiert den Benutzer Access Token aus dieser SID-Puffer. Die hartcodierte Begrenzung des Kunden definierbare SIDs für dieses Token 1015 ist, finden Sie in diesem Knowledge Base-Artikel:
328889 Benutzer, die mehr als 1015 Gruppen ist möglicherweise Anmeldeauthentifizierung fehl.
http://support.Microsoft.com/kb/328889/en-US

Aus diesem Grund ist ein MaxTokenSize-Wert für mehr als 1015 effektive SIDs nicht sinnvoll. In der folgenden Formel:
MaxTokenSize = 1200 + 40 d + s
40d bedeutet, dass Sie 40 Byte für eine Domänen-SID der lokalen Gruppe. 8 s sind 8 Byte für eine Domäne Global/universelle Gruppe-SID.

Aus diesem Grund haben Sie einen MaxTokenSize-Wert des 0x0000FFFF (64 KB), um ca. 1600 Domäne lokale Gruppen-SIDs oder etwa die 8000 Domäne Global/universelle Gruppen-SIDs Puffer möglicherweise. Wenn Sie "für Delegierungszwecke vertraut"-Konten verwenden, kann die Anforderung Puffer für jede SID verdoppelt. In diesen Szenarien können Sie 800 Domäne lokale Gruppen-SIDs nur speichern, wenn ein MaxTokenSize-Wert von 64K verwendet wird. Dass nur Domänen lokalen Gruppen-SIDs ist jedoch nicht in einem typischen Szenario. Ein Wert von 64 KB sollte auch für Delegierungsszenarien ausreichen.

Bekannte ProblemeWenn Sie Werte von mehr als 65535 MaxTokenSize

Frühere Versionen dieses Artikels erläutert Werte bis zu 100000 Byte für MaxTokenSize. Wir haben festgestellt, dass Versionen von SMS Administrator Probleme auftreten, wenn die MaxTokenSize 100000 ist oder größer. Wir haben auch festgestellt, dass das IPSEC-IKE-Protokoll eine Security-BLOB lässt, das größer als 66536 Bytes werden und würde auch fehl, wenn MaxTokenSize auf einen größeren Wert festgelegt ist.

Bekannte Probleme bei den Internet Information Server HTTP Empfangspuffer

Internet Information Server (IIS) verwendet eine geringere Anforderung Puffergröße um einen Denial of Service-Angriffen von 64 KB zu verringern. Allerdings wird ein Kerberos-Ticket in einer HTTP-Anforderung als Base64 codiert (sechs Bits erweitert auf acht Bits). Darüber hinaus und das Kerberos-Ticket ist mit 133 Prozent seiner ursprünglichen Größe. Wenn die maximale Puffergröße 64 KB in IIS ist, kann daher 48 KB ein Kerberos-Ticket verwendet werden.

Wenn Sie den MaxTokenSize -Registrierungseintrag auf einen Wert, der größer ist als 48000 festgelegt, und die Pufferspeicher für SIDs verwendet wird, kann IIS-Fehler auftreten. Wenn Sie den Registrierungseintrag MaxTokenSize auf 48000 festlegen, kann jedoch ein Kerberos-Fehler auftreten.

Weitere Informationen über IIS Puffergrößen klicken Sie auf die folgenden Artikelnummern klicken, um die betreffenden Artikel in der Microsoft Knowledge Base anzuzeigen:
310156 Die Headergröße der HTTP-Übertragung zu beschränken, die von einem Client unter Windows 2000 IIS akzeptiert

920862 Fehlermeldung, wenn Sie Outlook Web Access-Benutzer versucht, auf ein Postfach in Exchange Server 2003 zuzugreifen: "HTTP 400 Bad Request (Anfrage-Header zu lang)"

Windows Server 2012-Änderungen

Windows Server 2012, Aspekte zu diesen Puffer die folgenden Änderungen eingeführt:
  • Die Standardeinstellung für MaxTokenSize geändert auf 48.000 Bytes.
  • Es wird ein neues Schema für die Komprimierung von sids im PAC
  • Dynamische Zugriffssteuerung fügt Active Directory Ansprüche auf das Ticket. Daher ist die Berechnung der erwarteten Ticket-Größen nicht mehr einfach. Es wird erwartet, dass die Karten, die von Windows Server 2012-Domänencontrollern ausgegeben werden kleiner ist als die gleichen Tickets, die von älteren Versionen des Betriebssystems ausgegeben werden. Ansprüche Hinzufügen der Ticket-Größe. Nach dem Dateiserver Windows Server 2012 Ansprüche im großen und ganzen verwenden, erwarten Sie Auslaufen eine große Anzahl von Gruppen, die steuern, Dateizugriff auf Ticket Größe zuschneiden.

Weitere Informationen zu Windows Server 2012-Änderungen finden Sie auf der folgenden Microsoft TechNet-Website:
http://technet.Microsoft.com/en-us/library/hh831717.aspx

Beispiele für Probleme bei die Ticketgröße überschritten

Für weitere Informationen klicken Sie auf die folgenden Artikelnummern, um die Artikel der Microsoft Knowledge Base anzusehen:
277741 Internet Explorer-Anmeldung schlägt wegen eines unzureichenden Puffers für Kerberos fehl
313661 Fehlermeldung: "Zeitüberschreitung" tritt auf, wenn Sie eine mit SQL Server über TCP/IP Verbindung und das Kerberos MaxTokenSize größer als 0xFFFF ist

Da Sie domänenübergreifende Anmeldung Szenarien in der Gesamtstruktur haben, sollte der Wert Gesamtstruktur auf allen Windows-basierten Systemen festgelegt. Aus diesem Grund wird empfohlen, der maximale Wert für den MaxTokenSize-Wert 64 KB betragen.

Wichtig: Auf SQL Server-Clients erhalten Sie die folgende Fehlermeldung angezeigt, wenn dieses Problem auftritt:
SSPI-Kontext kann nicht generiert werden.
Um dieses Problem zu beheben, müssen Sie für alle Computer den MaxTokenSize Registrierungswert festlegen, die bei der Kerberos-Authentifizierung beteiligt sind. Dies umfasst die SQL Server-Clients.

Eigenschaften

Artikel-ID: 327825 - Geändert am: Freitag, 13. Juni 2014 - Version: 8.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Keywords: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 327825
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com