Problemas con la autenticación Kerberos cuando un usuario pertenece a muchos grupos

Seleccione idioma Seleccione idioma
Id. de artículo: 327825 - Ver los productos a los que se aplica este artículo
El Soporte técnico para Windows Vista Service Pack 1 (SP1) finaliza el 12 de julio de 2011. Para seguir recibiendo actualizaciones de seguridad para Windows, asegúrese de que está ejecutando Windows Vista con Service Pack 2 (SP2). Para obtener más información, consulte esta página Web de Microsoft: Finaliza el soporte para algunas versiones de Windows.
Expandir todo | Contraer todo

En esta página

Síntomas

Cuando un usuario pertenece a varios grupos, que el usuario puede tener problemas con la autenticación o con la configuración de directiva de grupo. Los siguientes artículos de Microsoft Knowledge Base describen estos síntomas con más detalle:

269643 La autenticación Kerberos de Internet Explorer no funciona debido a un búfer insuficiente que conecten con IIS
280380 Desbordamiento de búfer con procedimientos almacenados extendidos
2020943 Error "HTTP 400 - Solicitud incorrecta (encabezado de solicitud demasiado larga)" en los servicios de Internet Information Server (IIS)
La resolución que se describe en estos artículos indica a modificar el valor MaxTokenSize del registro. Esta resolución se ha realizado una mejora. Si utiliza la revisión que se describe en este artículo, no deberá modificar el valor de MaxTokenSize predeterminado.

La revisión que se describe en este artículo sustituye a las revisiones que se describen en los artículos de Microsoft Knowledge Base que se enumeran en esta sección.

Causa

No se puede autenticar el usuario porque el símbolo (token) de Kerberos que se genera durante los intentos de autenticación tiene un tamaño máximo fijo. Transportes como llamada a procedimiento remoto (RPC) y HTTP se basan en el valor de MaxTokenSize al asignar los búferes para la autenticación. En Windows 2000 (la versión original), el valor de MaxTokenSize es de 8.000 bytes. En el Service Pack 2 (SP2) de Windows 2000 y Windows Server 2003, el valor MaxTokenSize es de 12000 bytes.

Kerberos utiliza el campo certificado de atributo de privilegio (PAC) del paquete Kerberos para transporte de pertenencia de grupo de Active Directory. A partir de Windows Server 2012, esto también se aplica al campo de información (Control de acceso dinámico) notificaciones de Active Directory. Si hay muchas pertenencias a grupos del usuario, y si hay muchas solicitudes para el usuario o el dispositivo que se está utilizando, estos campos pueden ocupar mucho espacio en el paquete.

Si un usuario es miembro de más de 120 grupos, el búfer que viene determinado por el valor de MaxTokenSize no es suficientemente grande. Por lo tanto, no se pueden autenticar a los usuarios y pueden recibir un mensaje de error "memoria insuficiente". Antes de aplicar la revisión que se describe en este artículo, todos los grupos que se agregan a una cuenta de usuario aumenta este búfer de 40 bytes.

Nota En muchos escenarios, la autenticación NTLM de Windows funciona como se esperaba. No puede ver el problema de la autenticación Kerberos sin análisis. Sin embargo, los escenarios en que se aplica a la configuración de directiva de grupo no funcionen como se esperaba.

Solución

Importante: Para resolver este problema, debe establecer el valor MaxTokenSize del registro para todos los equipos que intervienen en el proceso de autenticación Kerberos. Esto incluye a los clientes de SQL Server.(Es decir, la clave del registro debe establecerse en cada equipo que participa en el flujo de solicitud y respuesta. Por lo tanto, si no hay un cliente de SQL Server en el que se basa una aplicación web, o si el token del usuario pasar a una base de datos de back-end de SQL Server, la clave del registro se ha establecido en el equipo de cliente de SQL Server, el equipo de base de datos de SQL Server, y también el equipo cliente que está ejecutando Internet Explorer, el servidor web que ejecuta IISy así sucesivamente.)

Nota Las siguientes versiones de Windows incluyen una solución para este problema:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Información del Service pack

Para resolver este problema, obtenga el service pack más reciente para Microsoft Windows 2000. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910 Cómo obtener el service pack más reciente de Windows 2000

Información de la revisión

Ahora hay una revisión compatible de Microsoft. Sin embargo, se pretende corregir el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico. Esta revisión puede ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere el siguiente service pack de Windows 2000 que contenga esta revisión.

Para resolver este problema inmediatamente, póngase en contacto con servicios de soporte técnico de Microsoft para obtener la revisión. Para obtener una lista completa de los números de teléfono de servicios de soporte al cliente de Microsoft e información acerca de los costos de soporte técnico, visite el siguiente sitio Web de Microsoft:
http://support.Microsoft.com/contactus/?ws=support
Nota En casos especiales, los costos derivados normalmente de llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Se aplicarán los costos de soporte técnico usuales a las cuestiones y problemas que no guarden relación con la actualización en cuestión.La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Cuando vea la información de archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la pestaña Zona horaria del elemento Fecha y hora del Panel de Control.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Se refiere a:". Este problema se corrigió primero en Microsoft Windows 2000 Service Pack 4.

Más información

Símbolo (token) de tamaño cálculo Windows 2000 a Windows Server 2008 R2

Si utiliza la revisión que se describe en este artículo, no debe modificar el valor MaxTokenSize del registro en la mayoría de los casos. Sin embargo, hay algunos escenarios en los que tiene que modificar el valor MaxTokenSize del registro después de aplicar esta revisión. Después de aplicar esta revisión en todos los controladores de dominio, utilice la siguiente fórmula para determinar si tiene que modificar el valor de MaxTokenSize:
TokenSize = 1200 + 40 d + 8s
Esta fórmula utiliza los siguientes valores:
  • d: el número de grupos locales de dominio de que un usuario es miembro más el número de fuera del dominio de cuenta del usuario el usuario es un miembro de los grupos universales, más el número de grupos representa en seguridad historial de identificador (SID).
  • s: el número de grupos de seguridad global que un usuario es miembro de más el número de grupos universales en el dominio de cuenta de un usuario que el usuario es miembro de.
  • 1200: El valor estimado de sobrecarga de vale. Este valor puede variar, dependiendo de factores como la longitud del nombre de dominio DNS, el nombre del cliente y otros factores.
En situaciones en que se utiliza la delegación (por ejemplo, cuando los usuarios autenticarse en un controlador de dominio), se recomienda que duplica el tamaño del símbolo (token).

Cuándo se debe establecer la entrada del registro

Si el tamaño del símbolo (token) que se calcula utilizando la siguiente fórmula es menos de 12.000 bytes (el tamaño predeterminado), no debe modificar el valor MaxTokenSize del registro en los clientes del dominio. Si el valor es más de 12.000 bytes, consulte el siguiente artículo de Microsoft Knowledge Base para obtener una descripción de cómo se ajusta el valor MaxTokenSize del registro:

263693 la Directiva de grupo puede no aplicarse a los usuarios que pertenecen a muchos grupos

Notas
  • Cuando se cambia el valor de MaxTokenSize, debe reiniciar el equipo para que el cambio sea efectivo.
El valor recomendado para la entrada de registro MaxTokenSize es 65535 decimal o hexadecimal del FFFF. El valor de MaxTokenSize especifica un vale Kerberos fijo recibe el búfer que contiene los SID que representan los grupos en los que la cuenta es un miembro.

Problemas conocidos que pueden producirse

Problemas conocidos para el tamaño del testigo de acceso:

El servicio de autoridad de seguridad Local (LSA) genera el Token de acceso de usuario de este búfer de SID. El límite no modificable de cliente definidos por el SID de este token es 1,015, consulte este artículo de KB:
328889 Usuarios que son miembros de grupos de más de 1.015 pueden producir un error de autenticación de inicio de sesión
http://support.Microsoft.com/kb/328889/en-us

Por lo tanto, un valor de MaxTokenSize para más de 1015 SID efectiva no es útil. En la siguiente fórmula:
MaxTokenSize = 1200 + 40 d + 8s
40d significa que dispone de 40 bytes para un SID de grupo Local de dominio. 8s significa 8 bytes para un SID de grupo de dominio Global o Universal.

Por lo tanto, si tiene un valor de MaxTokenSize de 0x0000FFFF (64 KB), podrá aproximadamente 1600 dominio Local SIDs de grupo o aproximadamente 8000 dominio Global o Universal grupo SID de búfer. Si utiliza cuentas "de confianza para la delegación", el requisito de búfer para cada SID puede duplicarse. En estos casos, sólo puede almacenar aproximadamente 800 dominio SID de grupo Local cuando se utiliza un valor MaxTokenSize de 64K. Sin embargo, tener sólo dominio Local SIDs de grupo no es un escenario típico. Un valor de 64K debería ser suficiente incluso para los escenarios de delegación.

Problemas conocidos para el servidor de información de Internet HTTP el búfer de recepción:

Internet Information Server (IIS) utiliza un tamaño de búfer de solicitud reducida para mitigar una denegación de ataque de servicio de 64 KB. Sin embargo, un vale de Kerberos en una solicitud HTTP está codificado en Base64 (expandido de seis bits a 8 bits). Además, y el vale de Kerberos utiliza 133% de su tamaño original. Por lo tanto, cuando el tamaño de búfer máximo es de 64 KB en IIS, puede utilizarse 48 KB de un vale de Kerberos.

Si establece la entrada de registro MaxTokenSize en un valor mayor que 48000 y se utiliza el espacio de búfer de SID, puede producirse un error IIS. Sin embargo, si se establece la entrada de registro MaxTokenSize en 48000, puede producirse un error de Kerberos.

Para obtener más información acerca de los tamaños de búfer IIS, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
310156 Cómo limitar el tamaño del encabezado de la transmisión HTTP que acepta IIS desde un cliente de Windows 2000

920862 Mensaje de error cuando un usuario de Outlook Web Access intenta tener acceso a un buzón de Exchange Server 2003: "HTTP 400 Solicitud incorrecta (encabezado de solicitud demasiado larga)"

Cambios de Windows Server 2012

Windows Server 2012 presenta las consideraciones sobre este búfer los siguientes cambios:
  • El valor predeterminado de MaxTokenSize cambia a 48.000 bytes.
  • Hay un nuevo esquema de compresión de los SID de la PAC.
  • Control de acceso dinámico agrega Active Directory afirma el vale. Por lo tanto, ya no es sencillo calcular los tamaños de entrada esperada. La expectativa es que los vales emitidos por los controladores de dominio de Windows Server 2012 son más pequeños que el mismas entradas que se emiten desde versiones anteriores del sistema operativo. Créditos aumentan el tamaño de la entrada. Sin embargo, después de que los servidores de archivos Windows Server 2012 utiliza ampliamente las reclamaciones, puede esperar a un número significativo de los grupos que controlan el acceso a los archivos para recortar los tamaños de vale.

Para obtener más información acerca de los cambios de Windows Server 2012, visite el siguiente sitio Web de Microsoft TechNet:
http://technet.Microsoft.com/en-us/library/hh831717.aspx

Ejemplos de problemas cuando se supera el tamaño del comprobante

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
277741 Inicio de sesión de Internet Explorer falla debido a un búfer insuficiente para Kerberos
313661 Mensaje de error: "Tiempo de espera agotado" se produce cuando se conecta a SQL Server sobre TCP/IP y el Kerberos MaxTokenSize es mayor que 0xFFFF

Porque puede que los escenarios de inicio de sesión de dominios en el bosque, el valor debe establecerse en todo el bosque en todos los sistemas basados en Windows. Por lo tanto, se recomienda que el valor máximo para el valor de MaxTokenSize es de 64 KB.

Importante: En los clientes de SQL Server, puede aparecer el siguiente mensaje de error cuando se produce este problema:
No se puede generar el contexto SSPI
Para resolver este problema, debe establecer el valor MaxTokenSize del registro para todos los equipos que intervienen en el proceso de autenticación Kerberos. Esto incluye a los clientes de SQL Server.

Propiedades

Id. de artículo: 327825 - Última revisión: jueves, 31 de octubre de 2013 - Versión: 5.0
La información de este artículo se refiere a:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
Palabras clave: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 327825

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com