Αναγν. άρθρου: 327825 - Τελευταία αναθεώρηση: Παρασκευή, 17 Ιουνίου 2011 - Αναθεώρηση: 1.0

Νέα ανάλυση για προβλήματα με τον έλεγχο ταυτότητας Kerberos όταν οι χρήστες ανήκουν σε πολλές ομάδες

Παράλληλη προβολήΠροβολή του πρωτότυπου αγγλικού άρθρου και της ελληνικής μετάφρασης αντικριστά
Μηχανικά μεταφρασμένοΠΡΟΕΙΔΟΠΟΙΗΣΗ: ΑΥΤΟ ΤΟ ΑΡΘΡΟ ΜΕΤΑΦΡΑΣΤΗΚΕ ΜΕ ΜΗΧΑΝΙΚΗ ΜΕΤΑΦΡΑΣΗ
Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Συμβουλή συστήματοςΑυτό το άρθρο ισχύει για διαφορετικό λειτουργικό σύστημα από αυτό που χρησιμοποιείτε. Το περιεχόμενο του άρθρου που ενδέχεται να μην σας αφορά έχει απενεργοποιηθεί.
Υποστήριξη για τα Windows Vista Service Pack 1 (SP1) λήγει στις 12 Ιουλίου 2011. Να συνεχίσετε να λαμβάνετε ενημερωμένες εκδόσεις ασφαλείας για τα Windows, βεβαιωθείτε ότι εκτελείτε τα Windows Vista με Service Pack 2 (SP2). Για περισσότερες πληροφορίες, ανατρέξτε σε αυτήν την ιστοσελίδα Microsoft: Τερματίζεται η υποστήριξη για ορισμένες εκδόσεις των Windows (http://windows.microsoft.com/en-us/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs) .

Σε αυτήν τη σελίδα

Ανάπτυξη όλων | Σύμπτυξη όλων

Συμπτώματα

Όταν ένας χρήστης ανήκει σε πολλές ομάδες, ο χρήστης μπορεί να έχει προβλήματα με τον έλεγχο ταυτότητας ή με τις ρυθμίσεις πολιτικής ομάδας. Το ακόλουθο Τα άρθρα της Γνωσιακής Βάσης της Microsoft περιγράφουν αυτά τα συμπτώματα με περισσότερες λεπτομέρειες:

269643  (http://support.microsoft.com/kb/269643/ ) Internet Ο έλεγχος ταυτότητας Kerberos Explorer λειτουργεί εξαιτίας των μια ανεπαρκής σύνδεση IIS buffer
280380  (http://support.microsoft.com/kb/280380/ ) Εκμετάλλευση υπερχείλιση buffer με σύνθετες αποθηκευμένες διαδικασίες
Η υπάρχουσα ανάλυση που περιγράφεται σε αυτά τα άρθρα δίνει οδηγίες για να τροποποιήσετε το MaxTokenSize η τιμή μητρώου. Βελτίωση έχει γίνει αυτή η ανάλυση. Εάν χρησιμοποιήσετε την επείγουσα επιδιόρθωση που περιγράφεται σε αυτό το άρθρο, δεν πρέπει να επεξεργαστείτε τον προεπιλεγμένο MaxTokenSize η τιμή.

Η επείγουσα επιδιόρθωση που περιγράφεται σε αυτό το άρθρο αντικαθιστά τις επείγουσες επιδιορθώσεις που περιγράφονται στα άρθρα της Γνωσιακής Βάσης της Microsoft που αναφέρονται σε αυτήν την ενότητα.
Επιστροφή στην αρχή

Αιτία

Ο χρήστης δεν είναι δυνατό να έλεγχο ταυτότητας, επειδή το Kerberos το διακριτικό που δημιουργείται κατά τις προσπάθειες ελέγχου ταυτότητας έχει σταθερό μέγιστο μέγεθος. Μεταφορών όπως η κλήση απομακρυσμένης διαδικασίας (RPC) και HTTP εξαρτώνται από το MaxTokenSize τιμή όταν τους εκχώρηση buffers για έλεγχο ταυτότητας. Στα Windows 2000 (αρχική έκδοση), το MaxTokenSize η τιμή είναι 8.000 byte. Στο Windows 2000 Service Pack 2 (SP2) και Microsoft Windows Server 2003, το MaxTokenSize η τιμή είναι 12.000 byte.

Εάν ένας χρήστης είναι μέλος περισσότερων από 120 ομάδες, το buffer που καθορίζεται από το MaxTokenSize η τιμή δεν είναι αρκετά μεγάλη. Ως αποτέλεσμα, οι χρήστες δεν είναι δυνατό ο έλεγχος ταυτότητας, και ενδέχεται να λάβουν ένα μήνυμα σφάλματος "μνήμη" εξαντλήθηκε. Πριν από την Εφαρμόστε την επείγουσα επιδιόρθωση που περιγράφεται σε αυτό το άρθρο, κάθε ομάδα που έχει προστεθεί σε ένα χρήστη λογαριασμού αυξάνει αυτό το buffer από 40 byte.

ΣΗΜΕΊΩΣΗ: Σε πολλά σενάρια λειτουργεί ως έλεγχος ταυτότητας Windows NTLM αναμενόταν. Δεν μπορείτε να δείτε το πρόβλημα του ελέγχου ταυτότητας Kerberos χωρίς ανάλυση. Ωστόσο, σενάρια, στα οποία εφαρμόζονται οι ρυθμίσεις πολιτικής ομάδας μπορεί να λειτουργεί ως αναμενόταν.
Επιστροφή στην αρχή

Προτεινόμενη αντιμετώπιση

ΣΗΜΕΙΩΣΗWindows 7, Windows Server 2008 R2, Windows Server 2003, Windows Vista, Windows Server 2008 και Windows XP Professional περιλαμβάνει μια ενημέρωση κώδικα για αυτό το πρόβλημα.
Επιστροφή στην αρχή

Πληροφορίες Service pack

Για να επιλύσετε αυτό το ζήτημα, αποκτήστε το πιο πρόσφατο service pack για Microsoft Windows 2000. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
260910  (http://support.microsoft.com/kb/260910/ ) Τρόπος Αποκτήστε το πιο πρόσφατο service pack των Windows 2000
Επιστροφή στην αρχή

Πληροφορίες επείγουσας επιδιόρθωσης

Μια υποστηριζόμενη επείγουσα επιδιόρθωση είναι τώρα διαθέσιμη από τη Microsoft. Ωστόσο, προορίζεται για τη διόρθωση μόνο το ζήτημα που περιγράφεται σε αυτό το άρθρο. Εφαρμόστε τη μόνο σε συστήματα που αντιμετωπίζουν το συγκεκριμένο ζήτημα. Αυτή η επείγουσα επιδιόρθωση ενδέχεται να λάβετε πρόσθετες δοκιμές. Επομένως, εάν αυτό το ζήτημα δεν σας επηρεάζει ιδιαίτερα, σας συνιστούμε να περιμένετε έως το επόμενο υπηρεσία των Windows 2000 Service Pack που περιέχει αυτήν την επείγουσα επιδιόρθωση.

Για να επιλύσετε αμέσως αυτό το ζήτημα, επικοινωνήστε με υπηρεσίες υποστήριξης πελατών της Microsoft για να αποκτήσετε την επείγουσα επιδιόρθωση. Για μια πλήρη λίστα αριθμών τηλεφώνου υπηρεσίες υποστήριξης πελατών της Microsoft και πληροφορίες σχετικά με το κόστος υποστήριξης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://support.Microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)
ΣΗΜΕΙΩΣΗ Σε ειδικές περιπτώσεις, οι χρεώσεις που υφίστανται κανονικά για κλήσεις υποστήριξης μπορεί να ακυρωθεί εάν ένας μηχανικός υποστήριξης της Microsoft κρίνει ότι μια συγκεκριμένη ενημερωμένη έκδοση θα επιλύσει το ζήτημα. Για πρόσθετες ερωτήσεις υποστήριξης και θέματα που αφορούν τη συγκεκριμένη ενημερωμένη έκδοση, θα ισχύσουν οι συνηθισμένες χρεώσεις υποστήριξης.Η αγγλική έκδοση αυτής της επείγουσας επιδιόρθωσης έχει τα χαρακτηριστικά αρχείου (ή νεότερα χαρακτηριστικά αρχείου) που παρατίθενται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για αυτά τα αρχεία αναφέρονται σε Συντονισμένη παγκόσμια ώρα (UTC). Όταν προβάλετε τις πληροφορίες του αρχείου, μετατρέπεται σε τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της ώρας UTC και της τοπικής ώρας, χρησιμοποιήστε την Ζώνη ώρας στην καρτέλα στο στοιχείο "ημερομηνία και ώρα" στον πίνακα ελέγχου.
Επιστροφή στην αρχή

Κατάσταση

Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα ζήτημα στα προϊόντα της Microsoft που παρατίθενται στην ενότητα "Ισχύει για". Το ζήτημα αυτό διορθώθηκε αρχικά στο Microsoft Windows 2000 Service Pack 4.
Επιστροφή στην αρχή

Περισσότερες πληροφορίες

Προηγουμένως, αν οι χρήστες αντιμετωπίζουν αυτό το πρόβλημα, θα έπρεπε να Προσαρμόστε το Kerberos MaxTokenSize η τιμή για να συνεχίσει τις λειτουργίες. Για να επιλύσετε αυτό το ζήτημα, έπρεπε να ενημέρωση αυτής της τιμής σε όλους τους σταθμούς εργασίας του τομέα.

Εάν χρησιμοποιήσετε την επείγουσα επιδιόρθωση που περιγράφεται σε αυτό το άρθρο, δεν πρέπει να τροποποιήσετε το MaxTokenSize η τιμή μητρώου στις περισσότερες περιπτώσεις. Ωστόσο, υπάρχουν ορισμένα σενάρια στο οποίο πρέπει να τροποποιήσετε το MaxTokenSize η τιμή μητρώου μετά την εφαρμογή αυτής της επείγουσας επιδιόρθωσης. Αφού εφαρμόσετε αυτήν επείγουσα επιδιόρθωση σε όλους τους ελεγκτές τομέα, χρησιμοποιήστε τον ακόλουθο τύπο για να καθορίσετε Αν χρειαστεί να τροποποιήσετε το MaxTokenSize τιμή:
TokenSize = 1200 + 40 d + 8s
Ο τύπος αυτός χρησιμοποιεί τις ακόλουθες τιμές:
  • d: τον αριθμό τοπικές ομάδες τομέα ένας χρήστης είναι μέλος συν τον αριθμό ευρείες ομάδες εκτός του τομέα του λογαριασμού του χρήστη συν το αριθμός των ομάδων που εκπροσωπούνται ασφαλείας ιστορικό ID (SID).
  • s: τον αριθμό καθολικές ομάδες ασφαλείας που ένας χρήστης είναι ένα μέλος της συν τον αριθμό ευρείες ομάδες στο λογαριασμό του χρήστη τομέα.
  • 1200: Η εκτιμώμενη αξία των αλυσοειδών εισιτηρίου. Αυτή η τιμή μπορεί να ποικίλλει ανάλογα με παράγοντες όπως το μήκος ονόματος τομέα DNS, όνομα υπολογιστή-πελάτη και άλλοι παράγοντες.
Στα σενάρια στα οποία χρησιμοποιείται η αντιπροσώπευση (για παράδειγμα, όταν Οι χρήστες πιστοποιούνται σε ελεγκτή τομέα), η Microsoft συνιστά να διπλή το διακριτικό μέγεθος.

Εάν το μέγεθος του διακριτικού που υπολογίζουν χρησιμοποιώντας Αυτός ο τύπος είναι μικρότερο από 12.000 byte (το προεπιλεγμένο μέγεθος), δεν χρειάζεται να τροποποίηση του MaxTokenSize η τιμή μητρώου σε υπολογιστές-πελάτες τομέα. Εάν η τιμή είναι περισσότερο από 12.000 byte, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft για ένα Περιγραφή με τον τρόπο ρύθμισης του MaxTokenSize τιμή μητρώου:

263693  (http://support.microsoft.com/kb/263693/ ) Η πολιτική ομάδας δεν μπορεί να εφαρμοστεί σε Οι χρήστες που ανήκουν σε πολλές ομάδες
Για περισσότερες πληροφορίες σχετικά με τον τρόπο απόκτησης ενός επείγουσα επιδιόρθωση για Windows 2000 Datacenter Server, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
265173  (http://support.microsoft.com/kb/265173/ ) Το Το πρόγραμμα Datacenter και Windows 2000 Datacenter Server product
Σημειώσεις
  • Όταν αλλάξετε MaxTokenSize, έτσι ώστε να είναι αποτελεσματική η αλλαγή, πρέπει να κάνετε επανεκκίνηση του υπολογιστή.
  • Η συνιστώμενη μέγιστη τιμή είναι 65535 δεκαδικές ή δεκαεξαδικές FFFF. Το MaxTokenSize η τιμή καθορίζει ένα σταθερό δελτίο Kerberos λαμβάνουν buffer που περιέχει τα SID που αντιπροσωπεύουν τις ομάδες στις οποίες ο λογαριασμός είναι μέλος. Αργότερα, η υπηρεσία τοπικής αρχής ασφαλείας (LSA) δημιουργεί το διακριτικό από αυτό το buffer SID. Σχεδιασμένο από το όριο του πελάτη σαφή αναγνωριστικά ασφαλείας για το διακριτικό αυτό είναι 1,015. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    328889  (http://support.microsoft.com/kb/328889/ ) Οι χρήστες που είναι μέλη των ομάδων περισσότερες από 1,015 ενδέχεται να αποτύχει ο έλεγχος ταυτότητας σύνδεσης
Επομένως, μια MaxTokenSize τιμή για περισσότερα από 1015 αποτελεσματική αναγνωριστικά ασφαλείας δεν είναι χρήσιμη. Στον παρακάτω τύπο:
MaxTokenSize 1200 + 40 d + 8s =
40 d σημαίνει ότι πρέπει να έχετε 40 byte για ένα SID τομέα τοπικής ομάδας. 8s: 8 byte για SID Global/καθολική ομάδα τομέα. Επομένως, εάν έχετε μια MaxTokenSize η τιμή του 0x0000FFFF (64 K), ίσως μπορέσετε να buffer περίπου 1600 τομέα τοπικής ομάδας SIDs ή αναγνωριστικά περίπου 8000 τομέα Global/παγκόσμια ομάδα ασφαλείας. Εάν χρησιμοποιείτε λογαριασμούς "αξιόπιστος για αντιπροσώπευση", ενδέχεται να διπλασιαστεί απαίτηση buffer για κάθε SID. Σε αυτά τα σενάρια, μπορείτε να αποθηκεύσετε μόνο περίπου 800 τομέα τοπικής ομάδας SIDs όταν ένα MaxTokenSize χρησιμοποιείται τιμή 64 K. Ωστόσο, έχοντας μόνο τομέα τοπικής ομάδας SIDs δεν είναι ρεαλιστικό σενάριο. Θα πρέπει να επαρκεί ακόμη και για σενάρια αντιπροσώπευση τιμή 64 K. Επιπλέον, εφαρμογές ενδέχεται να αντιμετωπίσουν πρόβλημα εάν ένα διακριτικό μέγεθος buffer περιέχει περισσότερα από 64 K.

Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:
277741  (http://support.microsoft.com/kb/277741/ ) Ο Internet Explorer σύνδεσης αποτύχει λόγω ένα buffer δεν επαρκεί για το Kerberos
313661  (http://support.microsoft.com/kb/313661/ ) Μήνυμα λάθους: "Λήξη χρονικού ορίου" παρουσιάζεται όταν συνδεθείτε στον SQL Server μέσω TCP/IP και Kerberos MaxTokenSize είναι μεγαλύτερη από 0xFFFF

Επειδή έχετε σενάρια σύνδεσης μεταξύ τομέων στο σύμπλεγμα δομών σας, η τιμή πρέπει να οριστεί δομών σε όλα τα συστήματα που βασίζονται στα Windows. Επομένως, συνιστάται η μέγιστη τιμή για το MaxTokenSize η τιμή είναι 64 K.

Σε υπολογιστές-πελάτες του SQL Server, ενδέχεται να λάβετε το ακόλουθο μήνυμα λάθους, όταν προκύπτει αυτό το ζήτημα:
Δεν είναι δυνατή η δημιουργία περιβάλλοντος SSPI
Για να επιλύσετε αυτό το ζήτημα, πρέπει να ορίσετε το MaxTokenSize η τιμή μητρώου για όλους τους υπολογιστές που συμμετέχουν στη διαδικασία ελέγχου ταυτότητας Kerberos, καθώς και τα προγράμματα-πελάτες του SQL Server.
Επιστροφή στην αρχή
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 for Embedded Systems
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
Επιστροφή στην αρχή
Λέξεις-κλειδιά: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtel
Επιστροφή στην αρχή
Μηχανικά μεταφρασμένοΜηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:327825  (http://support.microsoft.com/kb/327825/en-us/ )
Επιστροφή στην αρχή