Probleemid Kerberose autentimist kasutaja kuulub paljude Sõprade

Artiklite tõlked Artiklite tõlked
Artikli ID: 327825 - Vaadake tooteid, millega see artikkel seostub.
Toetus Windows Vista Service Pack 1 (SP1) lõpeb 12 juuli 2011. Edasi saama turvavärskendused Windows, veenduge, et kasutate operatsioonisüsteemi Windows Vista koos hoolduspaketiga Service Pack 2 (SP2). Lisateabe saamiseks vaadake seda Microsofti veebilehte: Mõnede Windowsi versioonide tugi on lõppemas.
Laienda kõik | Ahenda kõik

Sellel veebilehel

Sümptomid

Kui kasutaja kuulub palju rühmi, et kasutaja on probleeme autentimist või rühmapoliitika sätteid. Järgmisi Microsofti teabebaasi artikleid kirjeldada täpsemalt need sümptomid:

269643 Internet Exploreri Kerberose autentimine ei tööta kuna ebapiisavat puhvrit ühendamisel IIS
280380 Puhvri ületäitumine ära võimalik laiendatud salvestatud protseduurid
2020943 Internet Information Services (IIS) tõrge "HTTP 400 - Bad Request (taotleda päise liiga pikk)"
Resolutsioon, mis on kirjeldatud need esemed juhendab muuta MaxTokenSize registriväärtus. Paranemine toimus käesoleva resolutsiooni. Kui käesolevas artiklis kirjeldatud kiirparanduse kasutamiseks peate ei MaxTokenSize vaikeväärtuse muutmiseks.

Käesolevas artiklis kirjeldatav käigultparandus asendab käigultparandused, mis on kirjeldatud käesolevas paragrahvis loetletud Microsofti teabebaasi artiklite.

Põhjus

Kasutaja ei saa autentida, sest Kerberose märku, et on tekkinud autentimise katsed on määratud maksimummahu. Transpordi nagu kaugprotseduurikutse (RPC) ja HTTP tugineda MaxTokenSize väärtus, kui nad eraldavad puhvrid autentimist. Opsüsteemis Windows 2000 (algne versioon) MaxTokenSize väärtus on 8000 baiti. Windows 2000 hoolduspakett Service Pack 2 (SP2) ja Windows Server 2003 MaxTokenSize väärtus on 12 000 bytes.

Kerberose kasutab Kerberos-paketi transpordi Active Directory rühmakuuluvust privileeg atribuut tunnistus (PAC). Alustades Windows Server 2012, see kehtib ka Active Directory nõuded teabe (dünaamiline Access Control) väljale. Kui palju grupi liige kasutaja ja kui paljud nõuded kasutaja või seade, mida kasutatakse nendes valdkondades võib hõivata palju ruumi pakettaknad.

Kui kasutaja kuulub rohkem kui 120 rühmad, MaxTokenSize väärtus määrab puhver pole piisavalt suur. Seetõttu ei saa autentida kasutajat ja nad võivad tõrketeate "out of memory". Enne käesolevas artiklis kirjeldatud käigultparanduse rakendamist suurendab iga rühma, mis lisatakse kasutaja konto seda puhvrit 40 baiti.

Märkus Paljudel juhtudel Windows NTLM-autentimine toimib ootuspäraselt. Te ei näe Kerberose autentimine probleemi ilma analüüsita. Rühmapoliitika sätteid rakendada stsenaariumid ei pruugi ootuspäraselt.

Lahendus

OlulineSelle probleemi lahendamiseks peate seadma kõik arvutid, mis tegelevad Kerberose autentimine protsess MaxTokenSize registriväärtus. See sisaldab SQL Server klientidele.(S.t. registrivõti on seada igale arvutile, mis on seotud taotluse/vastuse voolu. Seetõttu, kui SQL Server client veebirakendus tugineb või kui kasutaja luba tagaserveri SQL Serveri andmebaasi edastada, registrivõti on seatava klientarvutisse SQL serveri SQL Serveri andmebaasi arvuti ja ka Internet Exploreri käitav klientarvuti töötavaid veebiserver töötab IISjne.)

Märkus Windowsi versioonid sisaldavad Paranda see probleem:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Hoolduspaketi teave

Selle probleemi lahendamiseks hankige uusim hoolduspakett Microsoft Windows 2000. Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
260910 Kuidas hankida uusim Windows 2000 hoolduspakett

Käigultparanduse teave

Toetatud kiirparanduse on nüüd Microsoftilt saadaval. See on mõeldud ainult käesolevas artiklis kirjeldatud probleemi. Rakendage seda ainult süsteemides, kus ilmneb see konkreetne probleem. Seda käigultparandust võidakse täiendavalt testida. Seega, kui probleem teie tööd tõsiselt ei kahjusta, soovitame oodata järgmist Windows 2000 hoolduspaketti, mis sisaldab seda käigultparandust.

Probleemi kohe lahendada, pöörduge vastava kiirparanduse hankimiseks Microsofti klienditugiteenuste. Microsofti klienditoe teenustega telefoninumbrid ja tugikulude teabe täielik loetelu külastage järgmist Microsofti veebisaiti:
http://support.microsoft.com/contactus/?ws=support
Märkus Erijuhtudel, maksud, mis on tavaliselt tekkinud vajadust tugiteenuste järele tühistada kui Microsofti toeta Professional otsustab konkreetne värskendus lahendab teie probleemi. Tavaline tugiteenuste kohaldatakse täiendavat tugiteenust vajavatele küsimustele ning probleemidele, mis pole lahendatavad konkreetse värskenduse installimisega.Selle käigultparanduse ingliskeelne versioon on failiatribuute (või uuemaid) järgmises tabelis loetletud. Kuupäevade ja kellaaegade need failid on loetletud maailmaaja (UTC). Faili teabe kuvamisel teisendatakse see Kohalik aeg. UTC ja kohaliku aja erinevuste väljaselgitamiseks kasutage juhtpaneeli üksuses kuupäev ja kellaaeg vahekaarti ajavöönd .

Olek

Microsoft on kinnitanud, et see probleem esineb Microsofti toodetel, mis on loetletud jaotises "Kehtib". See probleem lahendati esimesena Microsoft Windows 2000 Service Pack 4.

Lisateave

Token suuruse arvutamine Windows 2000 Windows Server 2008 R2

Kui käesolevas artiklis kirjeldatud kiirparanduse kasutamiseks pole enamasti registriväärtuse MaxTokenSize muutmiseks. Siiski on mõned stsenaariumid, kus olete muuta MaxTokenSize registriväärtus pärast selle käigultparanduse. Pärast selle käigultparanduse rakendamist kõigi domeenikontrollerite kasutada määramaks, kas teil on muuta MaxTokenSize väärtus järgmise valemi:
TokenSize = 1200 + 40 d + 8s
See valem kasutab järgmisi väärtusi:
  • d: domeenirühmi kohaliku kasutaja on liige number pluss universaalsete rühmade kasutaja kuulub kasutaja kontot domeenist väljaspool number pluss mitu rühma moodustasid turvalisuse ID (SID) ajalugu.
  • s: turberühmade globaalne, et kasutaja on liige number pluss mitu universaalse rühma kasutaja konto domeenis, kui kasutaja on liige.
  • 1200: Piletite overhead eeldatav maksumus. See väärtus võib varieeruda sõltuvalt DNS-i domeeni nime pikkus, kliendi nime ja muud tegurid.
Stsenaariumid delegatsioon kasutatakse (näiteks, kui kasutajad autentivad domeenikontroller), soovitame topelt sümboolse suurusega.

Kui registrikirje seadmiseks

Kui selle valemi abil arvutada sümboolne suurus on väiksem kui 12000 baiti (vaikimisi suurus), sa pead muuta domeeni klientide registriväärtuse MaxTokenSize. Kui väärtus on üle 12 000 bytes, vaadake Microsofti teabebaasi artikkel reguleerimine MaxTokenSize registriväärtus kirjelduse:

263693 Rühmapoliitikat ei saa kohaldada palju rühmadesse kuuluvate kasutajate

Märkmed
  • MaxTokenSize väärtuse muutmisel peate arvuti taaskäivitama, et muutus on tõhus.
Registrikirje MaxTokenSize soovituslik väärtus on 65535 kümnendsüsteemi või kuueteistkümnendiksüsteemi FFFF. MaxTokenSize väärtus määrab fikseeritud Kerberose pilet sisendpuhvris, arvestatakse liige rühmad esindavad sid sisaldav.

Ohutu suurus kasutamiseks võite seada MaxTokenSize 48000pärast arutelu HTTP header suurus selles artiklis kehtestatud piiranguid. Sõltuvalt sellest, mida kasutate väärtuse esimene kohtumine probleem Kerberose tõrkesündmuste või IIS HTTP 400 vigu.

Teadaolevad probleemid, mis võivad ilmneda

Teadaolevad probleemid juurdepääsu sümboolse suurusega:

Kohaliku asutuse (LSA) teenus tekitab juurdepääsu tõendi Kasutaja SID puhvriga. Kõva kodeeritud piirangu kliendi defineeritavad sid selle märgiks on 1,015, vaadake seda KB:
328889 kasutajad, kes on rohkem kui 1,015 rühmade liikmed ei pruugi sisselogimisel autentimine
http://support.microsoft.com/kb/328889/en-us

Seega üle 1015 tõhus sid MaxTokenSize väärtus on kasulik. Järgmine valem:
MaxTokenSize = 1200 + 40 d + 8s
40d tähendab on 40 baiti domeeni kohaliku rühma SID. 8s tähendab domeeni globaalne/Universal rühma SID 8 baiti.

Seega, kui 0x0000FFFF (64K) täisväärtus MaxTokenSize saab puhverdada umbes 1600 domeeni kohaliku rühma sid või ligikaudu 8000 domeeni globaalne/Universal rühma SIDs. "Volitamiseks usaldusväärne" kontode kasutamisel võib kahekordistada iga SID puhver nõue. Kõnealustel juhtudel saate ainult salvestada umbes 800 domeeni kohaliku rühma sid, 64K MaxTokenSize väärtus kasutamisel. Kuid olles ainult domeeni kohaliku rühma sid ei ole tüüpiline stsenaarium. 64K väärtus peaks olema piisav isegi delegeerimise stsenaariumi.

Teadaolevad probleemidkasutades MaxTokenSize üle 65535 väärtused

Eelmised versioonid käesoleva artikli arutatakse kuni 100000 baiti väärtuste MaxTokenSize. Oleme leidnud, et versioonid SMS administraator on probleeme, kui MaxTokenSize on 100000 või rohkem. Oleme määratlenud IPSEC IKE protokolliga võimaldatakse turvalisuse KÄMP saada suurem kui 66536 baiti ja seda ka ebaõnnestuda, kui MaxTokenSize seadeks on suurem väärtus.

Teadaolevad probleemid Interneti informatsiooni serveri HTTP sisendpuhvris

Internet Information Server (IIS) kasutab vähendatud taotluse puhvri suuruse leevendamiseks eitamine teenuste rünnak vektori 64 KB. Siiski Kerberose pilet HTTP-päring on kodeeritud Base64 (kuuel laienes kaheksa bitti). Lisaks ja Kerberose pileti kasutab 133% oma algsuurusest. Seega, kui maksimaalne suurus 64 KB IIS, saab Kerberose pilet 48 KB.

Kui seate registrikirje MaxTokenSize väärtust, mis on suurem kui 48000 puhvris ruumi kasutatakse sid, IIS-i tõrge võib tekkida. Kui seate registrikirje MaxTokenSize 48000, toimuda Kerberose viga.

IIS-i puhvri suuruse kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artiklite kuvamiseks järgmisi artiklinumbreid:
310156 Kuidas piirata IIS nõustub klient Windows 2000 HTTP edastamise header suurus

920862 Kui Outlook Web Accessi kasutaja üritab postkasti Exchange Server 2003, kuvatakse tõrketeade: "HTTP 400 Bad taotluse (taotluse header liiga pikk)"

Windows Serveri 2012 muudatused

Windows Serveri 2012 tuua seda puhvrit mõtteid järgmised muudatused:
  • Vaikimisi on MaxTokenSize muutub 48000 baiti.
  • Seal on uus kava kokkusurumise sid on PAC.
  • Dünaamiline juurdepääsukontrolli lisab Active Directory väidab, et pileti. Seetõttu arvutamisel eeldatavat Piletite suurused pole enam arusaadav. Ootus on, et Windows Server 2012 domeenikontrollerid väljastatud piletid väiksem kui sama piletit, vanema operatsioonisüsteemi versioonide väljastanud. Nõuded lisa Piletite suurus. Kuid pärast Windows Server 2012 failiserveritest kasutavad nõuete üldjoontes, võid oodata järk-järgult oma sõprade kontrolli faili juurdepääsu trimmi Piletite suurused hulk.

Lisateavet Windows Serveri 2012 muutused lähevad Microsoft TechNeti veebilehelt:
http://technet.microsoft.com/en-us/Library/hh831717.aspx

Probleemidest teatamiseks Piletite suurus näited

Lisateabe saamiseks klõpsake Microsofti teabebaasi artiklite kuvamiseks järgmisi artiklinumbreid:
277741 Internet Exploreri sisselogimine ei õnnestu tõttu ebapiisavat puhvrit Kerberose
313661 Tõrketeade: "Ajalõpp on aegunud" tekib siis, kui te luua ühenduse SQL serveriga üle TCP/IP ja Kerberose MaxTokenSize on suurem kui 0xFFFF

Sest oma metsas võib olla domeenidevaheline sisselogimise stsenaariumid, väärtus tuleks kindlaks määrata metsa kogu kõigi Windowsi-põhiste süsteemide. Seetõttu on soovitatav MaxTokenSize väärtust maksimumväärtus olla 64K.

Oluline SQL serveri kliente, võib selle probleemi ilmnemisel kuvatakse järgmine tõrketeade:
Ei saa luua SSPI kontekstis
Selle probleemi lahendamiseks peate seadma kõik arvutid, mis tegelevad Kerberose autentimine protsess MaxTokenSize registriväärtus. See sisaldab SQL Server klientidele.

Atribuudid

Artikli ID: 327825 - Viimati läbi vaadatud: 13. juuni 2014 - Redaktsioon: 2.0
Kehtib järgmise lõigu kohta:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Märksõnad: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtet
Masintõlgitud
NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.
Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 327825

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com