Problemas, susijusias su Kerberos autentifikavimo kai vartotojas priklauso daugelis grupi?

Straipsni? vertimai Straipsni? vertimai
Straipsnio ID: 327825 - Per?i?r?ti ?iame straipsnyje minimus produktus.
Parama Windows Vista Service Pack 1 (SP1) baigiasi liepos 12, 2011. Toliau gauti saugumo atnaujinimus Windows, ?sitikinkite, kad j?s? kompiuteryje veikia Windows Vista su 2 pakeitim? paketu (SP2). Daugiau informacijos, ie?kokite ?ioje Microsoft svetain?je: Kai kurios Windows versijos nutraukiamas palaikymas.
I?pl?sti visus | Sutraukti visus

?iame puslapyje

Po?ymiai

Jeigu vartotojas priklauso daug grupi?, vartotojas gali tur?ti problem? su autentifikavimo arba grup?s strategijos parametr?. ?iuose Microsoft ?ini? baz?s straipsniuose apra?oma ?i? simptom? i?samiau:

269643 Internet Explorer Kerberos autentifikavimo neveikia d?l nepakankamos buferio prie IIS
280380 Buferio perpildymo i?naudoti galima prat?sti saugomas proced?ras
2020943 "HTTP 400 - Bad pra?yti (pra?yti antra?t?s per ilgas)" klaidos, interneto informacijos paslaugos (IIS)
Rezoliucij?, kuri yra apra?yti liepia keisti MaxTokenSize registro reik?m?. Pager?jimas buvo siekiama ?i? rezoliucij?. Jei naudojate kar?t?sias pataisas, apra?ytas ?io straipsnio, neturite redaguoti numatytoji MaxTokenSize reik?m?.

Kar?t?sias pataisas, apra?ytas ?io straipsnio pakei?ia kar?t?sias pataisas, esan?ias apra?omi Microsoft ?ini? baz?s straipsnius, kurie yra i?vardyti ?iame skyriuje.

Prie?astis

Vartotojas negali autentifikuoti nes Kerberos atpa?inimo ?enklas, kuris sukuriamas per autentifikavimo bandym? turi nustatyt? maksimal? dyd?. Transportas kaip nuotolini? proced?r? i?kvietimo (RPC) ir HTTP remtis MaxTokenSize vert? kai jie skirti Buferiniai tirpalai autentifikavimui. Operacin?je sistemoje Windows 2000 (originalaus leidimo versij?), MaxTokenSize vert? 8000 bait?. Windows 2000 2 pakeitim? paket? (SP2) ir Windows Server 2003, MaxTokenSize reik?m? yra 12 000 bait?.

Kerberos naudoja lauk? privilegija atributas sertifikatas (PAC) Kerberos pakelio transportui Active Directory grup?s naryst?s. Pradedant Windows Server 2012, tai taip pat taikoma lauk? aktyvus katalogas reikalavim? informacijos (dinaminis Access Control). Jei yra daug grup?s naryst? vartotojui, ir jei yra daug teigini?, vartotojas ar ?renginys, kuris yra naudojamas, ?ie laukai gali u?imti daug vietos ant pakuot?s.

Jei vartotojas yra daugiau nei 120 grup?s narys, buferio, kuris yra nustatomas pagal MaxTokenSize vert? n?ra pakankamai didelis. Tod?l vartotojai negali autentifikuoti, ir jie gali gauti klaidos prane?imas "baig?si atmintis". Prie? taikydami ?ias kar?t?sias pataisas, apra?ytas ?io straipsnio, kiekvienai grupei, kuri yra prid?ta prie vartotojo abonement? padidina ?io buferio i? 40 bait?.

Pastaba. Vykdant daugel? scenarij?, Windows NTLM autentifikavim? veiks tinkamai. J?s negalite matyti Kerberos autentifikavimo problem? be analiz?s. Ta?iau, scenarijai, kuriuose grup?s strategijos parametrai taikomi gali veikti netinkamai.

Sprendimas

Svarbu.Nor?dami i?spr?sti ?i? problem?, turite nustatyti MaxTokenSize registro reik?m?, visi kompiuteriai, kuriuose dalyvauja Kerberos autentifikavimo procesas. Tai apima SQL serverio klientams.(T. y. registro raktas turi b?ti nustatytas kiekviename kompiuteryje, kuri ?traukta ? u?klausos ir atsakymo srautas. Tod?l, jeigu ten yra SQL serverio kliento, kuriais remiasi interneto programa, arba jeigu vartotojo atpa?inimo ?enklas negali b?ti perkelta ? vidinis SQL serverio duomen? baz?, registro raktas turi b?ti nustatytas kliento kompiuteryje SQL serverio SQL serverio duomen? baz? kompiuteriu, ir taip pat kliento kompiuteryje, kuriame veikia "Internet Explorer", ?iniatinklio serverio, kuriame veikia, veikia IISir t. t.)

Pastaba. ?i? Windows versij? yra B?da ta, kad ?i? problem?:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Paslaug? paketo informacija

Nor?dami i?spr?sti ?i? problem?, gauti naujausi? pakeitim? paket? Microsoft Windows 2000. Nor?dami gauti daugiau informacijos, spustel?kite toliau nurodyt? straipsnio numer? ir per?i?r?kite ?Microsoft? ?ini? baz?s straipsn?:
260910 Kaip ?sigyti naujausi? Windows 2000 pakeitim? paket?

Kar?tosios pataisos informacija

Palaikom? naujausi? patais? dabar yra Microsoft. Ta?iau ji skirta spr?sti tik ?iame straipsnyje apra?omai problemai. Taikyti j? tik sistemoms, kuriose kyla ?i problema. ?ios kar?tosios pataisos gali b?ti papildomai i?bandomos. Tod?l, jei jums yra ne ?i problema, rekomenduojame palaukti kito Windows 2000 pakeitim? paket?, kuriame bus ?ios kar?tosios pataisos.

Nor?dami i?spr?sti ?i? problem? i? karto, kreipkit?s ? Microsoft klient? gauti ?? pataisym?. ?od?i? s?ra?? Microsoft klient? palaikymo tarnybos telefon? ir informacijos apie palaikymo kainas, eikite ? Microsoft tinklalapyje:
http://support.Microsoft.com/contactus/?ws=support
Pastaba. Ypatingais atvejais, mokes?i?, kuriuos u? palaikymo skambu?ius gali b?ti at?aukti, jei Microsoft palaikymo specialistas nusprend?ia, kad j?s? problem? galima i?spr?sti naudojant konkret? naujinim?. Palaikymo bus taikoma papildoma parama klausimus ir klausimus, kurie neatitinka atitinkam? konkret? naujinim?.?ios kar?tosios pataisos angli?kam fail? atributai (arba v?liau failo atributus), yra i?vardyti toliau pateiktoje lentel?je. Datos ir laikai sura?yti pagal universal?j? laik? (UTC). Per?i?rint failo informacij?, jis konvertuojamas ? vietos laiku. Pamatyti skirtum? tarp Cut ir vietos laiko, naudokite skirtuk? laiko juost? ? valdymo skydo elemento data ir laikas.

B?sena

?Microsoft? patvirtino, kad tai yra ?Microsoft? produkt?, i?vardyt? skyriuje ?Taikoma?, problema. ?i problema pirm? kart? buvo pataisytas Microsoft Windows 2000 Service Pack 4.

Daugiau informacijos

Simbolinis dyd?io apskai?iavimo Windows 2000 ? Windows Server 2008 R2

Jei naudojate kar?t?sias pataisas, apra?ytas ?io straipsnio, j?s neturite pakeisti MaxTokenSize registro reik?m? da?niausiai. Ta?iau, yra kai kurie scenarijai, kuriame j?s turite pakeisti MaxTokenSize registro reik?m? pritaikius ?i? kar?t?j? patais?. Pritaikius ?i? kar?t?j? patais? ? visi domeno valdikliai, naudokite ?i? formul? nustatyti, ar j?s turite pakeisti MaxTokenSize vert?s:
TokenSize = 1200 + 40 d + 8s
?ioje formul?je naudojama ?i? ver?i?:
  • d: domeno vietos grupi? vartotojas yra narys skai?ius plius universali?j? grupi? ne vartotojo abonento domenu, kad vartotojas yra narys ir grupi? skai?ius atstovaujama saugos identifikatori? (SID) istorija.
  • s: saugumo pasaulio grupi?, kurios vartotojas yra narys skai?i? plius universali?j? vartotojo abonento domenu, kad vartotojas yra narys grupi? skai?ius.
  • 1200: apskai?iuota vert? biliet? kontaktinio tinklo. ?i vert? gali skirtis, priklausomai nuo veiksni? pvz., DNS domeno pavadinimas ilgis, kliento vardas ir kiti veiksniai.
Scenarijuose, kuriuose delegacija yra naudojama (pvz., kai vartotojai autentifikuot?si domeno valdiklis), mes rekomenduojame, kad padauginsite atpa?inimo ?enklo dyd?.

Kada reikia nustatyti registro ?ra??

Jei simbolinis dydis, kur? skai?iuojate naudojant ?i? formul? yra ma?iau kaip 12 000 bait? (numatyt?j? dyd?), j?s neturite pakeisti MaxTokenSize registro reik?m? domeno klientams. Jei reik?m? yra daugiau nei 12 000 bait?, pamatyti ?iame Microsoft ?ini? baz?s straipsnyje, apra?ymas, kaip koreguoti MaxTokenSize registro reik?m?:

263693 Grup?s strategijos gali b?ti netaikoma tiems vartotojams daug grup?ms priklausan?i?

Pastabos
  • Pakeitus MaxTokenSize vert?, privalote paleisti kompiuter?, kad kaita yra veiksmingas.
Rekomenduojama MaxTokenSize registro ?ra?o reik?m? 65535 de?imtainis arba ?e?ioliktainis FFFF. MaxTokenSize reik?m? nurodo ilgalaikio Kerberos bilieto gauti buferio, kuris yra MBSV, kad grupes, kuriose s?skaita yra narys.

Naudoti saug? dyd?, galite nustatyti MaxTokenSize 48000, vykusia diskusija apie yra senaties terminas pagal HTTP antra?t? dyd? ?iame straipsnyje. Priklausomai nuo kokios vert?s j?s naudojate, pirmiausia kyla problem? su Kerberos klaid? ?vykius, ar IIS HTTP 400 klaid?.

?inomos problemos, su kuriomis galite susidurti

?inomos problemos d?l prieigos atpa?inimo ?enklo dyd?:

Tarnybos vietos saugumo institucija (LSA) sukuria vartotojo prieigos atpa?inimo ?enklo i? ?io SID buferio. U?programuotas riba kliento neskaidomas MBSV, ?is ?enklas yra 1,015 rasite ?iame ?B straipsnyje:
328889 vartotojams, kurie yra daugiau nei 1.015 grupi? nariai gali nepavykti ??jimo autentifikuoti
http://support.Microsoft.com/kb/328889/en-us

Tod?l MaxTokenSize vert?s daugiau kaip 1015 veiksming? MBSV n?ra naudinga. ?ioje formul?je:
MaxTokenSize = 1200 + 40 d + 8s
40d rei?kia, kad turite 40 bait? domeno vietos grup?s SID. 8s-tai 8 bait? domeno Global/Universal grup? SID.

Tod?l, jei turite MaxTokenSize vert? yra 0x0000FFFF (64K), jums gali b?ti prie buferio ma?daug 1600 domeno vietos grup?s MBSV arba ma?daug 8000 domeno Global/Universal grup? morg?. Jei naudojate "patikim? delegacijai" s?skaitas, gali b?ti padvigubinta buferio poreikis kiekviena SID. ?iuose scenarijuose, j?s galite tik laikyti ma?daug 800 domeno vietos grup?s MBSV naudojant MaxTokenSize vert? yra 64K. Vis d?lto atsi?velgdama tik domeno vietos grup?s MBSV, jog n?ra tipi?kas. 64K vert? tur?t? pakakti net ir delegacijos scenarijus.

?inomos problemosnaudojant MaxTokenSize didesnis nei 65535 vert?s

Ankstesnes ?io straipsnio vert?s iki 100000 bait? daugel? MaxTokenSize. Mes nustat?me, kad versijos, SMS administratoriaus kyla problem?, kai MaxTokenSize yra 100 000 ar didesnis. Mes taip pat nustat?me, kad IPSEC IKE protokolo neleid?ia u?stat? BLOB tampa didesnis nei 66536 bait?, ir ji neu?tikrint? kai MaxTokenSize yra nustatyta didesn? vert?.

?inom? problem? d?l interneto informacijos serverio HTTP pri?mimo buferis

Interneto informacijos serverio (IIS) naudoja suma?int? pra?ym? buferio dyd? suma?inti perkrovos paslaug? atakos vektori? 64 KB. Ta?iau, Kerberos bilieto kaip HTTP u?klausa yra u?koduotas kaip Base64 (?e?i? bitai i?sipl?t? iki a?tuoni? bit?). Be to, ir Kerberos bilieto naudoja 133 % savo pradinio dyd?io. Tod?l, kai maksimalus buferio dydis yra 64 KB IIS, 48 KB Kerberos bilieto gali b?ti naudojamas.

Jei nustatysite MaxTokenSize registro ?ra?o vert?, kuri yra didesnis nei 48000, ir buferio vietos naudojama Sid, IIS klaida gali atsirasti. Ta?iau jei MaxTokenSize registro ?ra?o 48000, Kerberos klaida gali ?vykti.

Daugiau informacijos apie IIS buferio dyd?, spustel?kite ?iuos numerius per?i?r?kite straipsnius Microsoft ?ini? baz?je:
310156 Kaip b?ti ribojamas antra?t?s HTTP perdavimo, kad IIS priima i? Windows 2000 kliento

920862 Klaidos prane?imas, kai Outlook Web Access vartotojas bando prieiti prie pa?to d??ut?s Exchange Server 2003: "HTTP 400 netinkama u?klausa (u?klausos antra?t?je per ilgas)"

Windows Server 2012 pakeitimai

Windows Server 2012 pristat? ?iuos pakeitimus ?is buferinis svarstymai:
  • MaxTokenSize numatytoji pavirsta 48000 bait?.
  • ?ia yra nauja schema, suspaud?iant MBSV, kad AAM
  • Dinaminis Access Control prideda Active Directory teigia, kad bilietas. Tod?l, apskai?iuojant nurodomas numatomas biliet? jau neb?ra paprasta. Tikimasi, kad bilietus, kuriuos i?duoda Windows Server 2012 domeno valdikliai yra ma?esni u? pa?ius bilietus, kurie i?leid?iami i? ankstesn?s operacin?s sistemos versijos. Reikalavimus ?traukti ? bilieto dydis. Ta?iau po to, kai Windows Server 2012 fail? serveriai naudoja reikalavim? i? esm?s, galite tik?tis palaipsniui nema?ai savo grupes, kurios kontroliuoja failo prieig? prie apdailos biliet? dyd?i?.

Daugiau informacijos apie Windows Server 2012 m. poky?ius, eikite ? ?ioje "Microsoft TechNet" svetain?je:
http://technet.Microsoft.com/en-us/library/hh831717.aspx

Pavyzd?i?, kai bilietas dydis vir¹ijamas

Daugiau informacijos spustel?kite ?iuos numerius per?i?r?kite straipsnius Microsoft ?ini? baz?je:
277741 "Internet Explorer" prisijungti nepavyksta d?l nepakankamos buferio, Kerberos
313661 Klaidos prane?imas: "Skirtasis laikas baig?si" ?vyksta tada, kai j?s prisijungti prie SQL serverio per TCP/IP ir Kerberos MaxTokenSize yra didesnis nei 0xFFFF

Tod?l, kad turite kry?minio domeno prisijungimo scenarij? mi?ke, vert? tur?t? b?ti nustatyti mi?ko visoms Windows sistemoms. Tod?l rekomenduojame MaxTokenSize vert?s did?iausia vert? 64K.

Svarbu. SQL serverio klientams, galite gauti ?? klaidos prane?im? kilus problemai:
Negalima generuoti SSPI kontekste
Nor?dami i?spr?sti ?i? problem?, turite nustatyti MaxTokenSize registro reik?m?, visi kompiuteriai, kuriuose dalyvauja Kerberos autentifikavimo procesas. Tai apima SQL serverio klientams.

Savyb?s

Straipsnio ID: 327825 - Paskutin? per?i?ra: 2014 m. bir?elio 13 d. - Per?i?ra: 2.0
Taikoma:
  • Microsoft Windows XP leidimas profesionalams
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Rakta?od?iai: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtlt
Atliktas automatinis vertimas
SVARBU: ?is straipsnis i?verstas naudojant ?Microsoft? ma?ininio vertimo programin? ?rang? ir gali b?ti pataisytas naudojant ?Community Translation Framework? (CTF) technologij?. ?Microsoft? si?lo ma?inos i?verstus ir po to bendruomen?s suredaguotus straipsnius, taip pat ?mogaus i?verstus straipsnius siekdama suteikti prieig? prie vis? savo ?ini? baz?s straipsni? daugeliu kalb?. Ma?inos i?verstuose ir v?liau paredaguotuose straipsniuose gali b?ti ?odyno, sintaks?s ir / arba gramatikos klaid?. ?Microsoft? neatsako u? jokius netikslumus, klaidas arba ?al?, patirt? d?l neteisingo turinio vertimo arba m?s? klient? naudojimosi juo. Daugiau apie CTF ?r. http://support.microsoft.com/gp/machine-translation-corrections.
Spustel?kite ?ia, nor?dami pamatyti ?io straipsnio versij? angl? kalba: 327825

Pateikti atsiliepim?

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com