Masalah dengan otentikasi Kerberos ketika pengguna milik kelompok

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 327825 - Melihat produk di mana artikel ini berlaku.
Dukungan untuk Windows Vista Service Pack 1 (SP1) berakhir pada tanggal 12 Juli 2011. Agar terus menerima pembaruan keamanan untuk Windows, pastikan Anda menjalankan Windows Vista dengan Service Pack 2 (SP2). Untuk informasi lebih lanjut, lihat halaman web Microsoft ini: Dukungan berakhir untuk beberapa versi Windows.
Perbesar semua | Perkecil semua

Pada Halaman ini

Gejala

Ketika pengguna milik kelompok, pengguna mungkin memiliki masalah dengan otentikasi atau pengaturan Kebijakan Grup. Artikel Pangkalan Pengetahuan Microsoft berikut menjelaskan gejala-gejala ini secara lebih rinci:

269643 Otentikasi Internet Explorer Kerberos tidak bekerja karena penyangga cukup tautan langsung ke IIS
280380 Buffer overflow mengeksploitasi mungkin dengan diperpanjang disimpan prosedur
2020943 "HTTP 400 - buruk permintaan (permintaan Header terlalu lama)" kesalahan di Internet Information Services (IIS)
Resolusi yang dijelaskan dalam artikel ini menginstruksikan Anda untuk mengubah nilai registry MaxTokenSize. Perbaikan dibuat untuk resolusi ini. Jika Anda menggunakan perbaikan terbaru yang dijelaskan dalam artikel ini, Anda mungkin tidak harus mengedit nilai MaxTokenSize default.

Perbaikan terbaru yang dijelaskan di artikel ini menggantikan perbaikan terbaru yang dijelaskan pada artikel Pangkalan Pengetahuan Microsoft yang tercantum dalam bagian ini.

Penyebab

Pengguna tidak bisa mengotentikasi karena Kerberos token yang dihasilkan selama otentikasi upaya memiliki ukuran maksimum yang tetap. Transportasi seperti panggilan prosedur jauh (RPC) dan HTTP bergantung pada nilai MaxTokenSize ketika mereka mengalokasikan buffer untuk otentikasi. Pada Windows 2000 (versi rilis asli), nilai MaxTokenSize adalah 8.000 byte. Dalam Windows 2000 Service Pack 2 (SP2) dan Windows Server 2003, nilai MaxTokenSize adalah 12.000 byte.

Kerberos menggunakan bidang serifikat atribut istimewa (PAC) paket Kerberos untuk transportasi keanggotaan grup direktori aktif. Dimulai dengan Windows Server 2012, ini juga berlaku untuk bidang informasi (dinamis Access Control) klaim direktori aktif. Jika ada banyak keanggotaan grup untuk pengguna, dan jika ada banyak klaim untuk pengguna atau peranti penangkap yang digunakan, bidang ini dapat menempati banyak ruang di paket.

Jika pengguna adalah anggota dari kelompok-kelompok lebih dari 120, buffer yang ditentukan oleh nilai MaxTokenSize itu tidak cukup besar. Oleh karena itu, tidak bisa mengotentikasi pengguna dan mereka mungkin menerima pesan galat "memori penuh". Sebelum Anda menerapkan perbaikan terbaru yang dijelaskan dalam artikel ini, setiap kelompok yang ditambahkan ke account pengguna meningkatkan buffer ini oleh 40 bytes.

Catatan Dalam banyak skenario, otentikasi Windows NTLM bekerja seperti yang diharapkan. Anda mungkin tidak melihat masalah otentikasi Kerberos tanpa analisis. Namun, skenario di mana pengaturan Kebijakan Grup diterapkan mungkin tidak bekerja seperti yang diharapkan.

Pemecahan masalah

PentingUntuk mengatasi masalah ini, Anda harus mengatur nilai registry MaxTokenSize untuk semua komputer yang terlibat dalam proses otentikasi Kerberos. Ini termasuk SQL Server klien.(Itu adalah, bukti kunci registri yang telah diatur pada setiap komputer yang terlibat dalam aliran permintaan respon. Oleh karena itu, jika ada klien SQL Server di mana aplikasi web yang bergantung, atau jika pengguna token yang telah diberikan kepada backend database SQL Server, bukti kunci registri harus ditetapkan pada komputer klien SQL Server, SQL Server database komputer, dan juga komputer klien yang sedang menjalankan Internet Explorer, server Web berjalan itu sedang berjalan IISdan sebagainya.)

Catatan Versi Windows berikut termasuk perbaikan untuk masalah ini:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Layanan paket informasi

Untuk mengatasi masalah ini, Dapatkan Service Pack terbaru untuk Microsoft Windows 2000. Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Microsoft Knowledge Base:
260910 Cara mendapatkan Service Pack terbaru Windows 2000

Informasi hotfix

Sekarang tersedia hotfix yang didukung dari Microsoft. Namun, hal ini dimaksudkan untuk memperbaiki hanya masalah yang dijelaskan di artikel ini. Gunakan hanya pada sistem yang mengalami masalah khusus ini. Perbaikan terbaru ini mungkin menerima pengujian tambahan. Oleh karena itu, jika Anda sama sekali tidak dipengaruhi oleh masalah ini, kami sarankan Anda menunggu Service Pack Windows 2000 yang berisi hotfix ini.

Untuk segera memecahkan masalah ini, hubungi layanan dukungan pelanggan Microsoft untuk mendapatkan hotfix. Untuk daftar lengkap nomor telepon layanan dukungan pelanggan Microsoft dan informasi mengenai biaya dukungan, kunjungi website Microsoft berikut:
http://support.Microsoft.com/contactus/?WS=support
Catatan Dalam kasus tertentu, biaya yang biasanya diadakan untuk panggilan dukungan mungkin dibatalkan apabila teknisi dukungan Microsoft menentukan bahwa pembaruan khusus akan memecahkan masalah Anda. Biaya dukungan biasa akan berlaku untuk pertanyaan dan masalah yang tidak termasuk pada pembaruan tertentu yang dimaksud dukungan tambahan.Versi bahasa Perserikatan Kerajaan dari perbaikan terbaru ini memiliki atribut berkas (atau atribut berkas yang lebih baru) yang didaftar di dalam Daftar Tabel berikut. Tanggal dan waktu untuk berkas-berkas ini tercantum dalam Coordinated Universal Time (UTC). Ketika Anda melihat informasi berkas, waktunya akan diubah ke waktu lokal. Untuk menemukan perbedaan waktu UTC dan waktu lokal, gunakan tab zona waktu pada bagian Tanggal dan Waktu didalam Control Panel.

Status

Microsoft telah mengkonfirmasi bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana didaftar di dalam bagian "Applies to". Masalah ini pertama kali dikoreksi pada Microsoft Windows 2000 Service Pack 4.

Informasi lebih lanjut

Token ukuran perhitungan Windows 2000 ke Windows Server 2008 R2

Jika Anda menggunakan perbaikan terbaru yang dijelaskan dalam artikel ini, Anda tidak perlu mengubah nilai registry MaxTokenSize dalam kebanyakan kasus. Namun, ada beberapa skenario di mana Anda harus memodifikasi MaxTokenSize nilai registri setelah Anda menerapkan perbaikan terbaru ini. Setelah Anda menerapkan perbaikan terbaru ini untuk semua domain kontroler, menggunakan rumus berikut untuk menentukan apakah Anda harus memodifikasi MaxTokenSize nilai:
TokenSize = 1200 + 40 d + 8s
Formula ini menggunakan nilai berikut:
  • d: jumlah domain lokal kelompok pengguna adalah anggota ditambah jumlah kelompok-kelompok yang universal di luar domain account pengguna yang user anggota ditambah jumlah kelompok diwakili dalam keamanan sejarah ID (SID).
  • s: jumlah kelompok keamanan global yang pengguna adalah anggota ditambah jumlah kelompok-kelompok yang universal dalam domain account pengguna yang pengguna adalah anggota.
  • 1200: perkiraan nilai tiket overhead. Nilai ini dapat bervariasi, tergantung pada faktor-faktor seperti DNS domain nama panjang, nama klien, dan faktor lainnya.
Dalam skenario di mana delegasi digunakan (misalnya, bila pengguna melakukan otentikasi ke kontroler domain), kami sarankan bahwa Anda dua kali lipat token.

Ketika menetapkan entri registri

Jika ukuran token yang Anda menghitung dengan menggunakan rumus ini kurang dari 12.000 byte (ukuran default), Anda tidak perlu mengubah nilai registry MaxTokenSize pada domain klien. Jika nilai lebih dari 12.000 byte, lihat artikel Pangkalan Pengetahuan Microsoft berikut untuk keterangan tentang cara menyesuaikan nilai registri MaxTokenSize:

263693 Kebijakan Grup tidak dapat diterapkan untuk pengguna yang milik kelompok

Catatan
  • Bila Anda mengubah nilai MaxTokenSize, Anda wajib merestart komputer sehingga perubahan efektif.
Nilai yang direkomendasikan untuk entri registri MaxTokenSize adalah 65535 desimal atau FFFF heksadesimal. Nilai MaxTokenSize menentukan sebuah tiket Kerberos tetap menerima buffer yang berisi SIDs yang mewakili kelompok di mana account yang merupakan anggota.

Untuk menggunakan ukuran yang aman, Anda dapat memilih untuk mengatur MaxTokenSize ke 48000, mengikuti diskusi tentang pembatasan diperkenalkan oleh HTTP header ukuran nanti dalam artikel ini. Tergantung pada nilai apa yang Anda gunakan, Anda pertama kali mengalami masalah dengan Kerberos kesalahan peristiwa, atau IIS HTTP 400 kesalahan.

Masalah yang diketahui yang mungkin Anda temui

Masalah yang diketahui untuk ukuran Token akses:

Dinas keamanan lokal otoritas (LSA) menghasilkan pengguna Token akses dari SID buffer ini. Batas keras-kode pelanggan ditentukan SIDs token ini adalah 1,015, lihat artikel KB ini:
328889 pengguna yang merupakan anggota dari kelompok-kelompok lebih dari 1.015 mungkin gagal log masuk otentikasi
http://support.Microsoft.com/kb/328889/en-US

Oleh karena itu, nilai MaxTokenSize untuk lebih dari 1015 SIDs efektif ini tidak berguna. Rumus berikut:
MaxTokenSize = 1200 + 40 d + 8s
40d berarti bahwa Anda memiliki 40 byte untuk Domain lokal kelompok SID. 8s berarti 8 byte untuk Global Universal Domain Group SID.

Oleh karena itu, jika Anda memiliki nilai MaxTokenSize 0x0000FFFF (64K), Anda mungkin mampu penyangga sekitar 1600 Domain lokal kelompok SIDs atau sekitar 8000 Domain Global Universal Group SIDs. Jika Anda menggunakan account "terpercaya untuk delegasi", kebutuhan penyangga SID setiap mungkin dua kali lipat. Dalam skenario ini, Anda hanya dapat menyimpan sekitar 800 Domain lokal kelompok SIDs ketika nilai MaxTokenSize 64K digunakan. Namun, memiliki hanya Domain lokal kelompok SIDs bukanlah skenario. Nilai 64K harus cukup bahkan untuk skenario delegasi.

Masalah yang diketahuidengan menggunakan nilai-nilai MaxTokenSize lebih besar daripada 65535

Versi sebelumnya dari artikel ini membahas nilai-nilai hingga 100000 byte untuk MaxTokenSize. Kami telah menemukan bahwa versi dari SMS Administrator memiliki masalah ketika MaxTokenSize 100000 atau lebih besar. Kami juga telah mengidentifikasi bahwa protokol IPSEC IKE tidak memungkinkan keamanan gumpalan menjadi lebih besar dari 66536 byte, dan itu juga akan gagal bila MaxTokenSize diatur ke nilai yang lebih besar.

Masalah yang diketahui untuk server HTTP informasi Internet menerima buffer

Internet Information Server (IIS) menggunakan ukuran buffer mengurangi permintaan untuk mengurangi penolakan Layanan serangan vektor 64 KB. Namun, sebuah tiket Kerberos dalam permintaan HTTP dikodekan sebagai Base64 (enam bit diperluas ke delapan bit). Selain itu, dan tiket Kerberos menggunakan 133 persen dari ukuran aslinya. Oleh karena itu, ketika maksimum ukuran buffer 64 KB di IIS, 48 KB Kerberos tiket dapat digunakan.

Jika Anda menetapkan entri registri MaxTokenSize ke nilai yang lebih besar daripada 48000, dan ruang buffer digunakan untuk SIDs, IIS kesalahan dapat terjadi. Namun, jika Anda menetapkan entri registri MaxTokenSize untuk 48000, Kerberos kesalahan dapat terjadi.

Untuk informasi lebih lanjut tentang ukuran penyangga IIS, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
310156 Cara untuk membatasi ukuran header HTTP transmisi yang IIS menerima dari klien pada Windows 2000

920862 Pesan galat saat mencoba Outlook Web Access pengguna untuk mengakses kotak pesan di Exchange Server 2003: "HTTP 400 Bad Request (header permintaan terlalu lama)"

Windows Server 2012 perubahan

Windows Server 2012 memperkenalkan perubahan berikut pertimbangan tentang buffer ini:
  • Default untuk MaxTokenSize perubahan 48.000 byte.
  • Ada skema baru untuk mengompresi sids di PAC.
  • kontrol akses dinamis menambahkan klaim direktori aktif untuk tiket. Oleh karena itu, menghitung ukuran diharapkan tiket ini tidak lagi mudah. Harapannya adalah bahwa tiket yang dikeluarkan oleh pengendali domain Windows Server 2012 lebih kecil daripada tiket yang sama yang dikeluarkan dari versi sistem operasi. Klaim menambah ukuran Tiket. Namun, setelah Windows Server 2012 server file yang menggunakan klaim luas, Anda dapat mengharapkan untuk memensiunkan sejumlah kelompok yang mengontrol akses file untuk memangkas ukuran Tiket.

Untuk informasi selengkapnya tentang Windows Server 2012 perubahan, kunjungi website Microsoft TechNet berikut:
http://technet.Microsoft.com/en-US/Library/hh831717.aspx

Contoh masalah ketika ukuran tiket melebihi

Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
277741 Internet Explorer log masuk gagal karena buffer tidak mencukupi untuk Kerberos
313661 Pesan galat: "Timeout kadaluarsa" terjadi ketika Anda tautan langsung ke SQL Server melalui TCP/IP dan Kerberos MaxTokenSize lebih besar dari 0xFFFF

Karena Anda mungkin memiliki skenario lintas domain log masuk di hutan Anda, nilai yang harus ditetapkan hutan-lebar pada semua sistem berbasis Windows. Oleh karena itu, kami merekomendasikan bahwa nilai maksimum nilai MaxTokenSize menjadi 64K.

Penting Pada klien SQL Server, Anda mungkin menerima pesan galat berikut ketika masalah ini terjadi:
Tidak dapat menghasilkan SSPI konteks
Untuk mengatasi masalah ini, Anda harus mengatur nilai registry MaxTokenSize untuk semua komputer yang terlibat dalam proses otentikasi Kerberos. Ini termasuk SQL Server klien.

Properti

ID Artikel: 327825 - Kajian Terakhir: 13 Juni 2014 - Revisi: 6.0
Berlaku bagi:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Kata kunci: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 327825

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com