בעיות עם אימות Kerberos כאשר משתמש משתייך לקבוצות רבות

תרגומי מאמרים תרגומי מאמרים
Article ID: 327825 - View products that this article applies to.
תמיכה עבור Windows Vista Service Pack 1 (SP1) מסתיים ב- 12 ביולי, 2011. כדי להמשיך לקבל עדכוני אבטחה עבור Windows, ודא כי אתה משתמש ב- Windows Vista עם Service Pack 2 (SP2). לקבלת מידע נוסף, עיין בדף אינטרנט זה של Microsoft: מסיים תמיכה עבור גירסאות מסוימות של Windows.
הרחב הכל | כווץ הכל

On This Page

מאפייני הבעיה

כאשר משתמש משתייך לקבוצות רבות, המשתמש עלול להיתקל בבעיות עם אימות או עם הגדרות המדיניות הקבוצתית. המאמרים מתוך מאגר הידע Microsoft Knowledge Base הבאים מתארים תופעות אלה ביתר פירוט:

269643 אימות Kerberos של Internet Explorer אינו פועל בשל מאגר לא מספיק להתחבר IIS
280380 ניצול גלישת מאגר אפשרי עם שגרות מאוחסנות מורחבות
2020943 שגיאה "HTTP 400 - רע בקשה (בקש כותרת ארוכה מדי)" ב- Internet Information Services (IIS)
הפתרון המתואר במאמרים אלה מורה לך לשנות את ערך הרישום MaxTokenSize. שיפור בוצע פתרון זה. אם תשתמש התיקון החם המתואר במאמר זה, ייתכן לך לערוך את ערך ברירת המחדל של MaxTokenSize.

התיקון החם המתואר במאמר זה מחליף את התיקונים החמים המתוארות במאמרי Microsoft Knowledge Base המפורטים בסעיף זה.

סיבה

אין אפשרות לאמת את המשתמש מאחר ה-token Kerberos נוצר במהלך ניסיונות אימות יש גודל מרבי קבוע. הובלות כגון קריאה לפרוצדורה מרוחקת (RPC) HTTP להסתמך על הערך MaxTokenSize כאשר הם להקצות מאגרים עבור אימות. ב- Windows 2000 (גירסת ההפצה המקורית), הערך MaxTokenSize הוא 8,000 בייטים. ב- Windows 2000 Service Pack 2 (SP2) ו- Windows Server 2003, הערך MaxTokenSize הוא 12,000 בתים.

Kerberos משתמש השדה אישור התכונה הרשאה (האוקיינוס) של מנת Kerberos כדי תעבורה חברות בקבוצת Active Directory. החל ב- Windows Server 2012, הדבר חל גם על השדה מידע (פקד Access דינאמי) תביעות Active Directory. אם קיימות חברויות בקבוצה רבים עבור המשתמש, ואם קיימות תביעות רבות עבור המשתמש או ההתקן הנמצא בשימוש, שדות אלה יכולים לתפוס שטח במנה רב.

אם משתמש הוא חבר בקבוצות יותר מ- 120, המאגר הנקבע על-ידי הערך MaxTokenSize אינו גדול מספיק. לכן, אין אפשרות לאמת משתמשים והוא עשוי לקבל הודעת שגיאה "אין די זיכרון". לפני החלת את התיקון החם המתואר במאמר זה, כל קבוצה שמתווסף לחשבון משתמש הגדלת מאגר זה 40 בתים.

הערה בתרחישים רבים, אימות Windows NTLM פועל כצפוי. ייתכן שלא תראה את הבעיה אימות Kerberos ללא ניתוח. עם זאת, תרחישים שבו מוחלות הגדרות מדיניות קבוצתית לא יפעלו כצפוי.

פתרון הבעיה

חשובכדי לפתור בעיה זו, עליך להגדיר את ערך הרישום MaxTokenSize עבור כל המחשבים המעורבים בתהליך אימות Kerberos. הדבר כולל את הלקוחות של שרת SQL.(כלומר, יש מפתח הרישום שיש להגדיר בכל מחשב המעורב בזרימת בקשה/תגובה. לכן, אם לקוח שרת SQL שעליו מסתמך יישום אינטרנט, או אם יש רכיב token של המשתמש יועברו למסד נתונים על שרת SQL העורפי, מפתח הרישום הוא שיש להגדיר במחשב לקוח שרת SQL, מחשב מסד נתונים של SQL Server ולאחר גם מחשב הלקוח שבו פועל Internet Explorer, שרת האינטרנט הפועלים פועל IISוכן הלאה.)

הערה הגירסאות הבאות של Windows כוללת כעת תיקון לבעיה זו:
  • Windows 8
  • שרת Windows 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • חלונות ויסטה
  • Windows Server 2008
  • Windows XP Professional

Service pack מידע

כדי לפתור בעיה זו, השג את חבילת service pack העדכנית עבור Microsoft Windows 2000. לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
260910 כיצד להשיג את חבילת service pack העדכנית של Windows 2000

מידע על תיקונים חמים

תיקון חם נתמך זמין כעת מ- Microsoft. עם זאת, הוא מיועד רק את הבעיה המתוארת במאמר זה. יש להחיל אותו רק במערכות שהתעוררה בהן בעיה ספציפית זו. תיקון חם זה עשוי לעבור בדיקות נוספות. לכן, אם המערכת שברשותך לא נפגעה באופן חמור מבעיה זו, מומלץ להמתין למהדורת ה-service pack הבאה של Windows 2000, המכילה תיקון חם זה.

כדי לפתור בעיה זו באופן מיידי, פנה לשירותי התמיכה בלקוחות של Microsoft לקבלת התיקון החם. לקבלת רשימה מלאה של מספרי הטלפון בשירותי התמיכה ללקוח של Microsoft ומידע על עלויות תמיכה, עבור אל אתר האינטרנט הבא של Microsoft:
http://support.microsoft.com/contactus/?ws=support
הערה במקרים מיוחדים, ניתן לבטל את החיובים שהצגת שיחות תמיכה אם מומחה תמיכה של Microsoft יקבע שעדכון ספציפי יפתור את הבעיה. דמי התמיכה המקובלים יחולו על נוספים שאלות וסוגיות תמיכה אשר אינן מצריכות העדכון הספציפי האמור.הגירסה האנגלית של תיקון חם זה כוללת את תכונות הקובץ (או תכונות קובץ מתקדמות יותר) המפורטות בטבלה הבאה. התאריכים והשעות המתייחסים לקבצים הללו רשומים לפי זמן אוניברסלי מתואם (UTC). כשמציגים את פרטי הקובץ, היא מומרת לזמן המקומי. כדי לברר את הפרש השעות בין זמן UTC לזמן המקומי, השתמש בכרטיסייה אזור זמן בפריט ' תאריך ושעה ' בלוח הבקרה.

סטטוס

מיקרוסופט מאשרת כי מדובר בבעיה במוצרי מיקרוסופט הרשומים בסעיף-'חל על'. בעיה זו תוקנה לראשונה ב- Microsoft Windows 2000 Service Pack 4.

מידע נוסף

אסימון גודל חישוב את Windows 2000 ל- Windows Server 2008 R2

אם אתה משתמש התיקון החם המתואר במאמר זה, אין לשנות את ערך הרישום MaxTokenSize ברוב המקרים. עם זאת, קיימים מספר תרחישים בהם תצטרך לשנות את ערך הרישום MaxTokenSize לאחר החלת תיקון חם זה. לאחר החלת תיקון חם זה כל בקרי התחום, השתמש בנוסחה הבאה כדי לקבוע אם עליך לשנות את הערך MaxTokenSize:
TokenSize = 1200 + 40 d + 8s
נוסחה זו משתמשת הערכים הבאים:
  • d: מספר קבוצות מקומיות של קבוצת מחשבים שמשתמש הוא חבר בתוספת מספר קבוצות אוניברסליות מחוץ לקבוצת המחשבים של חשבון המשתמש בהם המשתמש חבר בתוספת מספר הקבוצות לייצג אבטחה היסטוריית מזהה (SID).
  • s: מספר קבוצות כלליות אבטחה אשר משתמש הוא חבר בתוספת מספר קבוצות אוניברסליות בתחום חשבון של משתמש בהם המשתמש חבר.
  • 1200: הערך המשוער לתקורה של הכרטיס. ערך זה יכול להשתנות, בהתאם לגורמים כגון אורך שם קבוצת מחשבים של DNS, שם הלקוח וגורמים אחרים.
בתרחישים שבו משמש הקצאה (לדוגמה, כאשר משתמשים לבצע אימות לבקר תחום), אנו ממליצים תכפיל את גודל האסימון.

מתי להגדיר את ערך הרישום

אם הגודל אסימון שמחשבות על-ידי שימוש בנוסחה זו הוא פחות מ- 12,000 בתים (גודל ברירת המחדל), אין לשנות את ערך הרישום MaxTokenSize בלקוחות התחום. אם הערך הוא יותר מ- 12,000 בתים, עיין במאמר הבא מתוך מאגר הידע Microsoft Knowledge Base לקבלת תיאור כיצד לכוונן את ערך הרישום MaxTokenSize:

263693 מדיניות קבוצתית אינה חלה למשתמשים המשתייכים לקבוצות רבות

הערות
  • בעת שינוי הערך של MaxTokenSize, עליך להפעיל מחדש את המחשב כך השינוי יעילה.
הערך המומלץ עבור ערך הרישום MaxTokenSize הוא העשרוני 65535 או FFFF הקסדצימאלי. מציין הערך MaxTokenSize כרטיס Kerberos קבוע לקבל מאגר המכיל את מזהי האבטחה המייצגים את הקבוצות שבו החשבון הוא חבר.

כדי להשתמש בגודל בטוח, באפשרותך לבחור להגדיר MaxTokenSize 48000, לאחר דיון אודות מגבלה שהוצגה על-ידי גודל כותרת HTTP בהמשך מאמר זה. תלוי איזה ערך אתה משתמש, תחילה נתקל בבעיה עם אירועי שגיאה Kerberos, או שגיאות HTTP 400 של IIS.

בעיות מוכרות שעלולות להתעורר

בעיות ידועות עבור גודל אסימון של Access:

שירות רשות האבטחה המקומית (LSA) מפיק המשתמש אסימון של Access מתוך מאגר SID זה. מגבלת מקודדת באופן קשיח של הלקוח מזהי אבטחה ניתן להגדרה עבור אסימון זה הוא 1,015, עיין במאמר KB זה:
328889 משתמשים שאינם חברים בקבוצות 1,015 יותר עלולה להיכשל באימות כניסה
http://support.microsoft.com/kb/328889/EN-US

לפיכך, ערך MaxTokenSize עבור מזהי אבטחה יעילה יותר 1015 אינו שימושי. בנוסחה הבאה:
MaxTokenSize = 1200 + 40 d + 8s
40d משמעו שיש לך 40 בתים עבור מזהה קבוצת תחום מקומי. 8s פירושו 8 בתים עבור מזהה קבוצת תחום כללית/אוניברסלית.

לכן, אם יש לך ערך MaxTokenSize של 0x0000FFFF (64k), ייתכן שתוכל ליצירת מאגר בקירוב 1600 התחום המקומי קבוצה מזהי אבטחה או בערך 8000 תחום כללית/אוניברסלית קבוצה מזהי אבטחה. אם אתה משתמש בחשבונות "אמין לצורך האצלת סמכויות", הדרישה מאגר עבור כל מזהה אבטחה עשוי להיות כפול. בתרחישים אלה, באפשרותך לאחסן כ- 800 תחום מזהי האבטחה של הקבוצה המקומית רק כאשר נעשה שימוש על-ידי ערך MaxTokenSize של 64 קילו. עם זאת, נתקל רק התחום המקומי קבוצה מזהי אבטחה אינו תרחיש אופייני. ערך של 64k אמורה להספיק גם עבור תרחישי הקצאה.

בעיות מוכרותבעת שימוש בערכים של MaxTokenSize גדול מ- 65535

גירסאות קודמות של מאמר זה נדון ערכים עד ל- 100000 בתים עבור MaxTokenSize. גילינו כי גירסאות של מנהל SMS נתקל בבעיות בעת MaxTokenSize הוא 100000 או גדול יותר. זיהינו גם פרוטוקול IPSEC IKE אינו מאפשר אבטחה BLOB להיות גדול מבתים 66536, ו- גם להיכשל כאשר MaxTokenSize מוגדר ערך גדול יותר.

בעיות מוכרות עבור HTTP Server מידע באינטרנט לקבל מאגר

שרת מידע אינטרנט ' (IIS) משתמש גודל המאגר בקשה מופחתת בצמצום מסוג מניעת שירות שיטת ההתקפה של 64 KB. עם זאת, כרטיס Kerberos בקשת HTTP בקידוד Base64 (שש סיביות מורחבת בשמונה סיביות). בנוסף, ושימוש כרטיס Kerberos הוא 133 אחוזים מגודלו המקורי. לכן, כאשר מגודל המאגר המרבי הוא 64 קילו-בתים ב- IIS, ניתן להשתמש 48 KB של כרטיס Kerberos.

אם תגדיר את ערך הרישום MaxTokenSize ערך גדול יותר 48000 שטח מאגר משמש עבור מזהי אבטחה, עלולה להתרחש שגיאה IIS. עם זאת, אם תגדיר את ערך הרישום MaxTokenSize 48000, עלולה להתרחש שגיאה Kerberos.

לקבלת מידע נוסף אודות גודל מאגר של IIS, לחץ על מספרי המאמרים הבאים כדי להציג את המאמרים מתוך מאגר הידע Microsoft Knowledge Base:
310156 כיצד להגביל את גודל הכותרת שידור HTTP ש- IIS מקבל מלקוח ב- Windows 2000

920862 הודעת שגיאה כאשר משתמש Outlook Web Access מנסה לגשת לתיבת הדואר ב- Exchange Server 2003: "HTTP 400 בקשה שגויה (כותרת בקשה ארוך מדי)"

שינויים 2012 שרת Windows

Windows Server 2012 שהוכנסו השינויים הבאים כדי שיקולים לגבי מאגר זה:
  • משנה ברירת המחדל של MaxTokenSize בתים 48,000.
  • אין ערכה חדשה של דחיסת מזהי אבטחה ב- PAC.
  • פקד דינאמי של Access מוסיף תביעות הספריה הפעילה על הכרטיס. לפיכך, חישוב גודל כרטיס הצפוי כבר לא ברור. הציפיה היא כרטיסים שהונפקו על-ידי בקרי תחום של Windows Server 2012 הקטנים מהכרטיסים באותו שהנפיקה מגירסאות קודמות של מערכת ההפעלה. תביעות להוסיף גודל כרטיס. עם זאת, לאחר שרתי קבצים 2012 שרת של Windows עושים שימוש תביעות בהיקף רחב, אתה יכול לצפות שלב החוצה מספר רב של הקבוצות שלך השולטות גישה לקובץ כדי לחתוך גדלים של כרטיס.

לקבלת מידע נוסף אודות שינויים 2012 שרת של Windows, עבור אל באתר האינטרנט הבא של Microsoft TechNet:
http://technet.microsoft.com/en-us/library/hh831717.aspx

דוגמאות לבעיות כאשר יש חריגה מגודל כרטיס

לקבלת מידע נוסף, לחץ על מספרי המאמרים הבאים כדי להציג את המאמרים מתוך מאגר הידע Microsoft Knowledge Base:
277741 Internet Explorer כניסה נכשל עקב מאגר לא מספיק עבור Kerberos
313661 הודעת שגיאה: "תם הזמן הקצוב" מתרחש כאשר תתחבר לשרת SQL באמצעות tcp/IP ו- Kerberos MaxTokenSize הוא גדול מ- 0xFFFF

מאחר לך כניסה תחומים תרחישים ביער שלך, יש אפשרות להגדיר את הערך בכל היער בכל מערכות מבוססות-Windows. לכן, אנו ממליצים כי הערך המרבי עבור הערך MaxTokenSize להיות 64K.

חשוב על לקוחות של שרת SQL, ייתכן שתקבל את הודעת השגיאה הבאה כאשר בעיה זו מתרחשת:
אין אפשרות ליצור הקשר SSPI
כדי לפתור בעיה זו, עליך להגדיר את ערך הרישום MaxTokenSize עבור כל המחשבים המעורבים בתהליך אימות Kerberos. הדבר כולל את הלקוחות של שרת SQL.

מאפיינים

Article ID: 327825 - Last Review: יום שישי 13 יוני 2014 - Revision: 2.0
המידע במאמר זה חל על:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
מילות מפתח 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMthe
תרגום מכונה
חשוב: מאמר זה תורגם באמצעות תוכנת תרגום מכונה של Microsoft וייתכן שנערך לאחר מכן על-ידי קהילת Microsoftבאמצעות טכנולוגייתCommunity Translation Framework (CTF) או באמצעות תרגום אנושי. Microsoft מציעה לך גם מאמרים בתרגום אנושי, מאמרים בתרגום מכונה ומאמרים שנערכו על ידי הקהילה כדי לאפשר גישה למאמרים הקיימים במאגר הידע (Knowledge Base) שלMicrosoft בשפות שונות. מאמרים מתורגמים יכולים להכיל שגיאות באוצר המילים, בתחביר או בדקדוק. Microsoft אינה אחראית לחוסר דיוק, שגיאות או נזקים שייגרמו כתוצאה מטעויות בתכנים או משימוש בתכנים על ידי לקוחותיה.
כותרת מאמר זה באנגלית: 327825

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com