Resolusi baru untuk masalah dengan otentikasi Kerberos ketika pengguna milik banyak kelompok

Ketika pengguna milik banyak kelompok, pengguna mungkin memiliki masalah dengan otentikasi atau pengaturan kebijakan grup. Berikut Artikel Basis Pengetahuan Microsoft menggambarkan gejala-gejala ini secara lebih rinci:

Resolusi yang ada yang dijelaskan dalam artikel menginstruksikan Anda untuk memodifikasi MaxTokenSize nilai registri. Peningkatan telah dibuat untuk resolusi ini. Jika Anda menggunakan perbaikan terbaru yang dijelaskan di artikel ini, Anda mungkin tidak harus mengedit default MaxTokenSize nilai.

Perbaikan terbaru yang dijelaskan di artikel ini menggantikan perbaikan terbaru yang dijelaskan pada artikel Basis Pengetahuan Microsoft yang tercantum dalam bagian ini.

Pengguna tidak mampu mengotentikasi karena Kerberos token yang dihasilkan selama otentikasi upaya telah tetap maksimum ukuran. Kapal angkut seperti panggilan prosedur jauh (RPC) dan HTTP mengandalkan MaxTokenSize nilai ketika mereka mengalokasikan buffer untuk otentikasi. Di Windows 2000 (dirilis versi asli), MaxTokenSize nilai adalah 8.000 byte. Di Windows 2000 Paket Layanan 2 (SP2) dan Microsoft Windows Server 2003, MaxTokenSize nilai adalah 12.000 byte.

Jika pengguna anggota lebih dari kelompok-kelompok 120, buffer yang ditentukan oleh MaxTokenSize nilai ini tidak cukup besar. Sebagai hasilnya, pengguna tidak dapat melakukan otentikasi, dan mereka akan menerima pesan galat "kehabisan memori". Sebelum Anda menerapkan perbaikan terbaru yang dijelaskan di artikel ini, setiap kelompok yang ditambahkan untuk pengguna akun meningkatkan penyangga ini oleh 40 byte.

CATATAN: Dalam banyak skenario, otentikasi Windows NTLM bekerja sebagai diharapkan; Anda mungkin tidak melihat masalah otentikasi Kerberos tanpa analisis. Namun, skenario di mana pengaturan kebijakan grup yang diterapkan tidak dapat berfungsi sebagai diharapkan.

CatatanWindows 7, Windows Server 2008 R2, Windows Server 2003, Windows Vista, Windows Server 2008, dan Windows XP Professional termasuk perbaikan untuk masalah ini.

Informasi paket layanan

Untuk memecahkan masalah ini, Dapatkan paket layanan terbaru untuk Microsoft Windows 2000. Untuk informasi lebih lanjut, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:

Informasi hotfix

Saat ini tersedia hotfix yang didukung dari Microsoft. Namun, hotfix ini ditujukan hanya untuk memecahkan masalah yang dijelaskan di artikel ini. Gunakan hanya pada sistem yang mengalami masalah khusus ini. Hotfix ini akan menerima pengujian tambahan. Oleh karena itu, jika Anda sama sekali tidak dipengaruhi oleh masalah ini, kami menganjurkan Anda menunggu berikutnya layanan Windows 2000 paket yang berisi perbaikan terbaru ini.

Untuk segera menyelesaikan masalah ini, hubungi Layanan Dukungan Pelanggan Microsoft untuk mendapatkan hotfix. Untuk daftar lengkap nomor telepon layanan dukungan pelanggan Microsoft dan informasi mengenai biaya dukungan, kunjungi Website Microsoft berikut:Catatan Pada kasus tertentu, biaya yang biasanya diadakan untuk panggilan dukungan akan dibatalkan apabila Teknisi Dukungan Microsoft menentukan bahwa pembaruan khusus akan memecahkan masalah Anda. Biaya dukungan biasa akan dikenakan untuk pertanyaan dan masalah dukungan tambahan yang tidak termasuk pada pemutakhiran tertentu yang dimaksud.Versi bahasa Inggris dari hotfix ini memiliki atribut berkas (atau atribut berkas yang lebih baru) yang tercantum dalam tabel berikut. Tanggal dan waktu untuk berkas-berkas tersebut dicantumkan dalam Coordinated Universal Time (UTC). Apabila Anda melihat informasi berkas, tanggal akan diubah ke waktu lokal. Untuk menemukan perbedaan waktu UTC dan waktu lokal, gunakan Zona waktu tab pada item tanggal dan waktu dalam Panel kontrol.

Microsoft telah mengkonfirmasi bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana didaftar di bagian "Berlaku untuk". Masalah ini diperbaiki pertama kali di Microsoft Windows 2000 Paket Layanan 4.

Sebelumnya, jika pengguna mengalami masalah ini, Anda harus menyesuaikan Kerberos MaxTokenSize nilai untuk melanjutkan operasi. Untuk mengatasi masalah ini, Anda harus Update nilai ini pada semua domain workstation.

Jika Anda menggunakan perbaikan terbaru yang dijelaskan dalam artikel ini, Anda tidak perlu mengubah MaxTokenSize nilai registri pada umumnya. Namun, ada beberapa skenario di mana Anda harus memodifikasi MaxTokenSize nilai registri setelah Anda menerapkan perbaikan terbaru ini. Setelah Anda menerapkan ini perbaikan terbaru untuk semua pengontrol domain, menggunakan rumus berikut untuk menentukan Apakah Anda harus memodifikasi MaxTokenSize nilai: Formula ini menggunakan nilai berikut:

• d: jumlah domain kelompok-kelompok lokal yang pengguna adalah anggota ditambah jumlah universal kelompok di luar pengguna account domain ditambah jumlah kelompok yang terwakili dalam keamanan sejarah ID (SID).
• s: jumlah kelompok global keamanan pengguna anggota ditambah jumlah kelompok-kelompok yang universal dalam account pengguna domain.
• 1200: Perkiraan nilai untuk tiket overhead. Nilai ini dapat bervariasi tergantung pada faktor-faktor seperti panjang nama domain DNS, nama klien, dan faktor-faktor lain.

Dalam skenario di mana delegasi digunakan (misalnya, ketika pengguna melakukan otentikasi ke kontroler domain), Microsoft menyarankan Anda dua kali lipat ukuran token.

Jika token ukuran yang Anda menghitung dengan menggunakan formula ini adalah kurang dari 12.000 byte (ukuran default), Anda tidak perlu memodifikasi MaxTokenSize nilai registri pada domain klien. Jika nilai lebih dari 12.000 byte, lihat artikel Basis Pengetahuan Microsoft berikut untuk penjelasan tentang cara menyesuaikan MaxTokenSize nilai registri:

Untuk informasi lebih lanjut tentang cara mendapatkan perbaikan terbaru untuk Windows 2000 Datacenter Server, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:Catatan

• Ketika Anda mengubah MaxTokenSize, Anda harus me-restart komputer agar perubahan efektif.
• Nilai maksimum yang direkomendasikan adalah 65535 desimal atau FFFF heksadesimal. The MaxTokenSize nilai menentukan tiket Kerberos tetap menerima buffer yang berisi SIDs yang mewakili kelompok-kelompok di mana account adalah anggota. Kemudian, layanan otoritas keamanan lokal (LSA) menghasilkan token dari penyangga SID ini. Batas keras-kode pelanggan SIDs ditentukan untuk token ini adalah 1,015. Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
  328889  (http://support.microsoft.com/kb/328889/ ) Pengguna yang merupakan anggota dari kelompok-kelompok lebih dari 1.015 mungkin gagal logon otentikasi

Oleh karena itu, MaxTokenSize nilai untuk lebih dari 1015 SIDs efektif tidak berguna. Rumus berikut: 40 d berarti bahwa Anda harus memiliki 40 byte untuk Domain lokal grup SID. 8s berarti 8 byte untuk Global/Universal Domain Group SID. Oleh karena itu, jika Anda memiliki MaxTokenSize nilai dari 0x0000FFFF (64 K), Anda mungkin dapat penyangga sekitar 1600 Domain lokal grup SIDs atau sekitar 8000 Domain Global/Universal Group SIDs. Jika Anda menggunakan account "dipercaya untuk delegasi", persyaratan penyangga untuk setiap SID mungkin menjadi dua kali lipat. Dalam skenario ini, Anda hanya dapat menyimpan sekitar 800 Domain lokal grup SIDs ketika MaxTokenSize nilai dari 64 K digunakan. Namun, memiliki hanya Domain lokal grup SIDs bukanlah sebuah skenario yang realistis. Nilai 64 K harus cukup bahkan untuk skenario delegasi. Selain itu, aplikasi mungkin mengalami kesulitan jika ukuran token buffer berisi lebih dari 64 K.

Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
Karena Anda mungkin memiliki cross-domain logon skenario dalam forest, nilai yang harus ditetapkan hutan-lebar di semua sistem berbasis Windows. Oleh karena itu, kami merekomendasikan bahwa nilai maksimum MaxTokenSize nilai menjadi 64 K.

Pada klien SQL Server, Anda mungkin menerima pesan galat berikut ketika masalah ini terjadi: Untuk mengatasi masalah ini, Anda harus mengatur MaxTokenSize nilai registri untuk semua komputer yang terlibat dalam proses otentikasi Kerberos, termasuk SQL Server klien.