Problemi con l'autenticazione Kerberos quando un utente appartiene a molti gruppi

Traduzione articoli Traduzione articoli
Identificativo articolo: 327825 - Visualizza i prodotti a cui si riferisce l?articolo.
Il supporto per Windows Vista Service Pack 1 (SP1) termina il 12 luglio 2011. Per continuare a ricevere gli aggiornamenti della sicurezza per Windows, assicurarsi di eseguire Windows Vista con Service Pack 2 (SP2). Per ulteriori informazioni, vedere la pagina Web Microsoft: Sta per terminare il supporto per alcune versioni di Windows.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Quando un utente appartiene a molti gruppi, tale utente potrebbe avere problemi con l'autenticazione o con le impostazioni di criteri di gruppo. I seguenti articoli della Microsoft Knowledge Base descrivono questi sintomi in modo pi¨ dettagliato:

269643 L'autenticazione Kerberos di Internet Explorer non funziona a causa di un buffer insufficiente per la connessione a IIS
280380 Sovraccarico del buffer possibili con le stored procedure estese
2020943 Errore "HTTP 400 - richiesta non valida (intestazione della richiesta troppo lungo)" in Internet Information Services (IIS)
Indica che la risoluzione Ŕ descritto in questi articoli per modificare il valore del Registro di sistema MaxTokenSize. ╚ stato effettuato un miglioramento a questa risoluzione. Se si utilizza l'aggiornamento rapido descritto in questo articolo, non si disponga di modificare il valore di MaxTokenSize predefinito.

L'hotfix descritto in questo articolo sostituisce gli aggiornamenti rapidi descritti negli articoli della Microsoft Knowledge Base elencati in questa sezione.

Cause

L'utente non pu˛ autenticare perchÚ il token Kerberos che viene generato durante i tentativi di autenticazione ha una dimensione massima fissa. Trasporti, ad esempio la chiamata di procedura remota (RPC) e HTTP si basano sul valore MaxTokenSize quando allocare i buffer per l'autenticazione. In Windows 2000 (versione originale), il valore MaxTokenSize Ŕ 8.000 byte. In Windows 2000 Service Pack 2 (SP2) e Windows Server 2003, il valore MaxTokenSize Ŕ byte 12.000.

Kerberos utilizza il campo privilegio Attribute Certificate (PAC) del pacchetto Kerberos per trasporto l'appartenenza al gruppo di Active Directory. A partire da Windows Server 2012, questo vale anche per il campo di informazione (controllo dinamico degli accessi) attestazioni di Active Directory. Se sono presenti molte appartenenze ai gruppi per l'utente, e se sono presenti molte attestazioni per l'utente o il dispositivo Ŕ in uso, questi campi possono occupare molto spazio libero nel pacchetto.

Se un utente Ŕ membro dei gruppi di pi¨ di 120, il buffer Ŕ determinato dal valore MaxTokenSize non Ŕ sufficiente. Pertanto, non Ŕ possibile autenticare gli utenti e venga visualizzato un messaggio di errore "memoria insufficiente". Prima di applicare l'hotfix descritto in questo articolo, ogni gruppo viene aggiunto a un account utente aumenta questo buffer di 40 byte.

Nota. In molti scenari, l'autenticazione NTLM di Windows funziona come previsto. Il problema dell'autenticazione Kerberos senza analisi potrebbe non essere visualizzato. Scenari in cui vengono applicate le impostazioni dei criteri di gruppo potrebbero non funzionare come previsto.

Risoluzione

Importante Per risolvere questo problema, Ŕ necessario impostare il valore del Registro di sistema MaxTokenSize per tutti i computer coinvolti nel processo di autenticazione Kerberos. Sono inclusi i client di SQL Server.(Vale a dire la chiave del Registro di sistema deve essere impostato su ciascun computer coinvolti nel flusso di richiesta/risposta. Pertanto, se non esiste un client di SQL Server su cui si basa un'applicazione web o il token dell'utente deve essere passato a un database di SQL Server back-end, la chiave del Registro di sistema deve essere impostata nel computer client di SQL Server, il computer del database di SQL Server e anche il computer client che eseguita Internet Explorer, il server web in esecuzione che esegue IISe cosý via.)

Nota. Le seguenti versioni di Windows con una correzione per questo problema:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003:
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Informazioni sul Service pack

Per risolvere il problema, ottenere il service pack pi¨ recente per Microsoft Windows 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
260910 Come ottenere il service pack pi¨ recente per Windows 2000

Informazioni sull'hotfix

Un hotfix supportato Ŕ disponibile da Microsoft. Tuttavia Ŕ destinato esclusivamente alla risoluzione il problema descritto in questo articolo. Applicarlo solo ai sistemi in cui si verificano questo problema specifico. Questo hotfix potrebbe ricevere ulteriori verifiche. Se il problema non causa gravi difficoltÓ, si consiglia di attendere la versione successiva del service pack di Windows 2000 contenente tale hotfix.

Per risolvere immediatamente questo problema, contattare il supporto tecnico clienti Microsoft per ottenere l'hotfix. Per un elenco completo di numeri di telefono del supporto tecnico clienti Microsoft e informazioni sui costi dell'assistenza, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota. In casi particolari, le spese normalmente addebitate per le chiamate al supporto tecnico potrebbero essere annullate se un professionista del supporto Microsoft determina che uno specifico aggiornamento risolverÓ il problema. I costi di supporto usuali verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.La versione inglese di questo hotfix presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Le date e ore dei file sono elencate nel tempo universale coordinato (UTC). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e ora locale, utilizzare la scheda Fuso orario nell'elemento Data e ora nel Pannello di controllo.

Status

Microsoft ha confermato che questo Ŕ un problema nei prodotti Microsoft elencati nella sezione "Si applica a". Questo problema Ŕ stato risolto in Microsoft Windows 2000 Service Pack 4.

Informazioni

Token dimensioni calcolo Windows 2000 a Windows Server 2008 R2

Se si utilizza l'aggiornamento rapido descritto in questo articolo, non Ŕ necessario modificare il valore del Registro di sistema MaxTokenSize nella maggior parte dei casi. Tuttavia, esistono alcuni scenari in cui Ŕ necessario modificare il valore del Registro di sistema MaxTokenSize dopo avere applicato questo hotfix. Dopo avere applicato questo hotfix in tutti i controller di dominio, utilizzare la seguente formula per determinare se Ŕ necessario modificare il valore MaxTokenSize:
TokenSize = 1200 + 40 d + 8s
Questa formula utilizza i seguenti valori:
  • d: il numero di gruppi locali di dominio a di che un utente Ŕ membro pi¨ il numero di gruppi universali di fuori del dominio dell'account utente che l'utente Ŕ un membro di pi¨ il numero di gruppi rappresentati protezione cronologia ID (SID).
  • s: il numero di gruppi globali di protezione che un utente Ŕ un membro di pi¨ il numero di gruppi universali in un dominio dell'account utente che l'utente Ŕ un membro di.
  • 1200: il valore stimato per i costi generali di ticket. Questo valore pu˛ variare in base a fattori quali la lunghezza del nome di dominio DNS, il nome del client e altri fattori.
In scenari in cui la delega Ŕ utilizzata (ad esempio, quando gli utenti autenticati a un controller di dominio), si consiglia di raddoppiare la dimensione del token.

Quando impostare la voce del Registro di sistema

Se la dimensione del token che Ŕ possibile calcolare utilizzando questa formula Ŕ inferiore a 12.000 byte (la dimensione predefinita), non Ŕ necessario modificare il valore del Registro di sistema MaxTokenSize sui client del dominio. Se il valore Ŕ maggiore di 12.000 byte, vedere il seguente articolo della Microsoft Knowledge Base per una descrizione di come regolare il valore del Registro di sistema MaxTokenSize:

263693 Criteri di gruppo non possono essere applicato per gli utenti che appartengono a molti gruppi

Note
  • Quando si modifica il valore MaxTokenSize, Ŕ necessario riavviare il computer in modo che venga applicata la modifica.
Il valore consigliato per la voce del Registro di sistema MaxTokenSize Ŕ 65535 decimale o esadecimale FFFF. Il valore MaxTokenSize specifica il buffer che contiene i SID che rappresentano i gruppi in cui l'account Ŕ un membro di ricevere un ticket Kerberos fisso.

Per utilizzare una dimensione provvisoria, Ŕ possibile impostare MaxTokenSize su 48000, dopo la discussione su un limite introdotto dalla dimensione dell'intestazione HTTP pi¨ avanti in questo articolo. A seconda di quale valore si utilizza, viene innanzitutto rilevato un problema con gli eventi di errore Kerberos o errori IIS HTTP 400.

Problemi noti che possono verificarsi

Problemi noti per la dimensione del Token di accesso:

Il servizio AutoritÓ di protezione locale (LSA) genera il Token di accesso utente da questo buffer di SID. Il limite hard-coded del cliente SID definibili per questo token Ŕ 1,015, vedere l'articolo della Knowledge Base:
328889 utenti che sono membri dei gruppi di pi¨ di 1,015 potrebbero non riuscire l'autenticazione di accesso
http://support.microsoft.com/kb/328889/en-us

Pertanto, un valore MaxTokenSize per pi¨ di 1015 SID efficace non Ŕ utile. Nella formula seguente:
MaxTokenSize = 1200 + 40 d + 8s
d 40 significa che si dispongano di 40 byte per un SID di gruppo locale di dominio. 8s significa 8 byte per un SID di gruppo di dominio globale/universale.

Pertanto, se si hanno un valore MaxTokenSize 0x0000FFFF (64K), Ŕ possibile memorizzare nel buffer di circa 1600 dominio locale gruppo SID o circa 8000 dominio globale/universale gruppo SID. Se si utilizza un account "trusted per delega", il requisito di buffer per ciascun SID pu˛ essere raddoppiato. In questi scenari, Ŕ possibile memorizzare solo circa 800 dominio i SID di gruppo locale quando viene utilizzato un valore MaxTokenSize di 64 KB. Tuttavia, la presenza di dominio solo locale SID di gruppo non Ŕ uno scenario tipico. Un valore di 64K dovrebbe essere sufficiente anche per scenari di delega.

Problemi notiquando si utilizzano i valori di dimensioni superiori a 65535 MaxTokenSize

Versioni precedenti di questo articolo descritti i valori fino a 100000 byte per MaxTokenSize. ╚ stato riscontrato che le versioni di SMS Administrator verificarsi problemi quando il MaxTokenSize Ŕ 100000 o pi¨ grande. Abbiamo identificato anche che il protocollo IKE IPSEC non consente una protezione BLOB diventi maggiore di 66536 byte, e inoltre avrÓ esito negativo quando MaxTokenSize Ŕ impostata su un valore maggiore.

Problemi noti di Internet Information Server HTTP il buffer di ricezione

Internet Information Server (IIS) utilizza una dimensione del buffer richiesta ridotta per ridurre il rischio di una negazione del vettore di attacco del servizio di 64 KB. Tuttavia, in cui un Kerberos Ticket in una richiesta HTTP viene codificato in Base64 (sei bit espansi a otto bit). Inoltre, e il Kerberos Ticket utilizza 133% delle dimensioni originali. Pertanto, quando la dimensione massima del buffer Ŕ di 64 KB in IIS, Ŕ possibile utilizzare 48 KB di un Kerberos Ticket.

Se si imposta la voce del Registro di sistema MaxTokenSize su un valore maggiore di 48000 e lo spazio del buffer viene utilizzato per i SID, potrebbe verificarsi un errore IIS. Tuttavia, se si imposta la voce del Registro di sistema MaxTokenSize su 48000, potrebbe verificarsi un errore di Kerberos.

Per ulteriori informazioni sulle dimensioni del buffer IIS, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base:
310156 Come limitare la dimensione dell'intestazione della trasmissione HTTP che accetta di IIS da un client in Windows 2000

920862 Messaggio di errore quando un utente di Outlook Web Access tenta di accedere a una cassetta postale in Exchange Server 2003: "HTTP 400 richiesta non valida (intestazione della richiesta troppo lungo)"

Modifiche di Windows Server 2012

Windows Server 2012 introdotte le seguenti modifiche per le considerazioni relative a questo buffer:
  • Il valore predefinito per MaxTokenSize viene modificato su 48.000 byte.
  • ╚ disponibile un nuovo schema di compressione dei SID di accettarla.
  • Controllo dinamico degli accessi aggiunge attestazioni basate su Active Directory per il Ticket. Pertanto, calcolare le dimensioni del ticket previsto non Ŕ pi¨ semplice. L'aspettativa Ŕ che i ticket emessi da controller di dominio Windows Server 2012 sono minori i ticket stessi vengono emesse da precedenti versioni del sistema operativo. Attestazioni di aumentare le dimensioni del ticket. Tuttavia, dopo il file server Windows Server 2012 utilizza attestazioni su vasta scala, Ŕ possibile prevedere gradualmente un numero significativo di gruppi che controllano l'accesso ai file per tagliare le dimensioni del ticket.

Per ulteriori informazioni sulle modifiche di Windows Server 2012, visitare il seguente sito Web Microsoft TechNet:
http://technet.microsoft.com/en-us/library/hh831717.aspx

Esempi di problemi quando viene superata la dimensione di ticket

Per ulteriori informazioni, fare clic sui numeri degli articolo riportato di seguito per visualizzare gli articoli della Microsoft Knowledge Base:
277741 Accesso a Internet Explorer non riesce a causa di un buffer insufficiente per Kerberos
313661 Messaggio di errore: "Timeout scaduto" si verifica quando si connette a SQL Server su TCP/IP e Kerberos MaxTokenSize Ŕ maggiore di 0xFFFF

PerchÚ potrebbe essere scenari di accesso tra domini nell'insieme di strutture, il valore deve essere impostato a livello di foresta in tutti i sistemi basati su Windows. ╚ pertanto consigliabile che il valore massimo per il valore MaxTokenSize Ŕ 64 KB.

Importante Nei client di SQL Server, Ŕ possibile che venga visualizzato il seguente messaggio di errore quando si verifica questo problema:
Impossibile generare il contesto SSPI
Per risolvere questo problema, Ŕ necessario impostare il valore del Registro di sistema MaxTokenSize per tutti i computer coinvolti nel processo di autenticazione Kerberos. Sono inclusi i client di SQL Server.

ProprietÓ

Identificativo articolo: 327825 - Ultima modifica: venerdý 13 giugno 2014 - Revisione: 5.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Chiavi:á
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 327825
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com