Problemen met Kerberos-verificatie wanneer een gebruiker tot vele groepen behoort

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 327825 - Bekijk de producten waarop dit artikel van toepassing is.
Ondersteuning voor Windows Vista Service Pack 1 (SP1) eindigt op 12 juli 2011. Als u wilt doorgaan met het ontvangen van beveiligingsupdates voor Windows moet u zorgen dat u Windows Vista met Service Pack 2 (SP2) uitvoert. Raadpleeg de volgende Microsoft-webpagina voor meer informatie: Ondersteuning wordt voor sommige versies van Windows beëindigd.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Symptomen

Wanneer een gebruiker tot veel groepen behoort, kan die gebruiker problemen hebben met authenticatie, of met de instellingen voor Groepsbeleid. De volgende Microsoft Knowledge Base-artikelen beschrijven deze symptomen in meer detail:

269643 Internet Explorer Kerberos-verificatie werkt niet door een onvoldoende buffer verbinding maakt met IIS
280380 Buffer overflow misbruik mogelijk met uitgebreide opgeslagen procedures
2020943 Fout 'HTTP 400 - Ongeldig verzoek (Request Header te lang)' in Internet Information Services (IIS)
De resolutie die wordt beschreven in deze artikelen: Hiermee geeft u de registerwaarde MaxTokenSize wijzigen. Een verbetering is aangebracht in deze resolutie. Als u de hotfix die in dit artikel wordt beschreven, moet u mogelijk geen om de standaardwaarde voor MaxTokenSize te bewerken.

De hotfix die wordt beschreven in dit artikel vervangt de hotfixes die worden beschreven in Microsoft Knowledge Base-artikelen die in deze sectie worden vermeld.

Oorzaak

De gebruiker kan niet worden geverifieerd omdat het Kerberos-token dat wordt gegenereerd tijdens de verificatiepogingen een vaste maximumgrootte heeft. Transporten zoals remote procedure call (RPC) en HTTP zijn afhankelijk van de waarde van MaxTokenSize wanneer ze buffers toewijst voor verificatie. In Windows 2000 (de oorspronkelijke release) is de waarde MaxTokenSize 8.000 bytes. In Windows 2000 Service Pack 2 (SP2) en Windows Server 2003 is de waarde MaxTokenSize 12.000 bytes.

Kerberos gebruikt het veld bevoegdheid kenmerk certificaat (PAC) van het Kerberos-pakket vervoer lidmaatschap van Active Directory-groep. Vanaf Windows Server 2012, geldt dit ook voor het veld Claims van Active Directory-informatie (Dynamic Access Control). Als de gebruiker veel groepslidmaatschappen heeft en er zijn veel claims voor de gebruiker of het apparaat dat wordt gebruikt, kunnen deze velden veel ruimte in het pakket innemen.

Als een gebruiker lid zijn van meer dan 120, is de buffer die wordt bepaald door de waarde MaxTokenSize niet groot genoeg. Daarom worden gebruikers niet verifiëren en wordt een foutbericht 'onvoldoende geheugen'. Voordat u de hotfix die wordt beschreven in dit artikel toepassen, wordt deze buffer in elke groep die wordt toegevoegd aan een gebruikersaccount verhoogd met 40 bytes.

Opmerking In veel gevallen kan Windows NTLM-verificatie werkt zoals verwacht. Het probleem met Kerberos-verificatie zonder analyse mogelijk niet weergegeven. Scenario's waarin instellingen voor Groepsbeleid worden toegepast mogelijk niet werken zoals verwacht.

Oplossing

BelangrijkU lost dit probleem, moet u de registerwaarde MaxTokenSize instellen voor de computers die bij het Kerberos-verificatieproces betrokken zijn. Het gaat hierbij om de SQL Server-clients.(Dat wil zeggen de registersleutel heeft moet worden ingesteld op elke computer die deel uitmaakt van de stroom van de aanvraag en respons. Dus als er een SQL Server-client waarop een webtoepassing is gebaseerd of als het token van de gebruiker moeten worden doorgegeven aan een SQL Server-database backend, de registersleutel moet worden ingesteld op de SQL Server-clientcomputer van de computer met SQL Server-database en ook de clientcomputer met Internet Explorer, de webserver die met IIS wordt uitgevoerdenzovoort.)

Opmerking De volgende versies van Windows zijn een oplossing voor dit probleem:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Informatie over het servicepack

U kunt dit probleem oplossen door het meest recente servicepack voor Microsoft Windows 2000 te verkrijgen. Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base te bekijken:
260910 Het verkrijgen van het meest recente servicepack voor Windows 2000

Informatie over hotfixes

Een ondersteunde hotfix is nu beschikbaar bij Microsoft. Het is echter bedoeld om alleen het probleem op te lossen dat in dit artikel wordt beschreven. Pas deze alleen toe op systemen waarop dit specifieke probleem zich voordoet. Deze hotfix moet wellicht extra worden getest. Als u geen ernstige problemen ondervindt, is het daarom raadzaam te wachten op het volgende servicepack voor Windows 2000 waarin deze hotfix is opgenomen.

Om dit probleem onmiddelijk op te lossen, kunt u contact opnemen met Microsoft Customer Support Services om de hotfix te verkrijgen. Voor een volledige lijst met telefoonnummers van Microsoft Customer Support Services en informatie over kosten van ondersteuning, gaat u naar de volgende Microsoft-website:
http://support.Microsoft.com/contactus/?ws=support
Opmerking In speciale gevallen kunnen kosten die normaal aan ondersteuningsoproepen verbonden zijn, worden geannuleerd als een medewerker van Microsoft productondersteuning van mening is dat een specifieke update de oplossing van uw probleem is. De normale ondersteuningskosten blijven gelden voor extra ondersteuningsvragen die niet in aanmerking voor de specifieke update in kwestie komen.De Engelse versie van deze hotfix heeft de bestandskenmerken (of recentere bestandskenmerken) die in de volgende tabel worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Om het verschil tussen UTC en lokale tijd te achterhalen, gebruikt u het tabblad tijdzone in het onderdeel datum en tijd in het Configuratiescherm.

Status

Microsoft heeft bevestigd dat dit een probleem is in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'. In Microsoft Windows 2000 Service Pack 4 werd voor het eerst een correctie aangebracht voor dit probleem.

Meer informatie

Token grootte berekening van Windows 2000 naar Windows Server 2008 R2

Als u de hotfix die in dit artikel wordt beschreven, hoeft u niet te wijzigen van de registerwaarde MaxTokenSize in de meeste gevallen. Er zijn echter enkele scenario's waarin u de registerwaarde MaxTokenSize wijzigen moet nadat u deze hotfix hebt toegepast. Nadat u deze hotfix op alle domeincontrollers toepast, moet u de volgende formule gebruiken om te bepalen of er om de waarde van de MaxTokenSize te wijzigen:
TokenSize = 1200 + 40 d + 8s
In deze formule wordt de volgende waarden:
  • d: het aantal domeingebonden groepen die een gebruiker lid van is plus het aantal universele groepen buiten het domein van de gebruiker die de gebruiker lid van is en het aantal groepen weergegeven in beveiligings-ID (SID) geschiedenis.
  • s: het aantal globale beveiligingsgroepen waarvan een gebruiker lid van is plus het aantal universele groepen in het domein van de gebruikersaccount die de gebruiker lid van is.
  • 1200: De geschatte waarde van het ticket overhead. Deze waarde kan variëren, afhankelijk van factoren zoals de lengte van domeinnamen voor DNS-naam van client en andere factoren.
In scenario's waarin de delegatie wordt gebruikt (bijvoorbeeld wanneer gebruikers worden geverifieerd bij een domeincontroller), is het raadzaam dat u de grootte van het token verdubbelt.

Als de registervermelding instellen

Als het token waarmee u door met de volgende formule berekend is minder dan 12.000 bytes (de standaardgrootte), hoeft u niet de registerwaarde MaxTokenSize op domeinclients wijzigen. Als de waarde meer dan 12.000 bytes is, raadpleegt u het volgende Microsoft Knowledge Base-artikel voor een beschrijving van het aanpassen van de registerwaarde MaxTokenSize:

263693 Groepsbeleid kan niet worden toegepast op gebruikers die tot vele groepen behoren

Opmerkingen
  • Wanneer u de MaxTokenSize-waarde wijzigt, moet u de computer opnieuw opstarten zodat de wijziging wordt doorgevoerd.
De aanbevolen waarde voor de registervermelding MaxTokenSize is 65535 decimale of hexadecimale FFFF. De waarde MaxTokenSize geeft vaste Kerberos-ticket ontvangen buffer met de SID's die staan voor de groepen waarvan de account lid is.

Bekende problemen die kunnen optreden

Bekende problemen met de toegang Token grootte:

De lokale beveiligingsautoriteit (LSA) service genereert de gebruiker toegang Token van deze SID-buffer. De vastgelegde limiet van klant definieerbare beveiligings-id's voor deze token 1,015 is, raadpleegt u dit Knowledge Base-artikel:
328889 Gebruikers die lid van meer dan 1,015 groepen zijn mislukt aanmeldingsverificatie
http://support.Microsoft.com/kb/328889/en-us

Daarom is een MaxTokenSize waarde voor meer dan 1015 daadwerkelijke SID's niet nuttig. In de volgende formule:
MaxTokenSize = 1200 + 40 d + 8s
40d betekent dat er 40 bytes voor een domein-SID voor lokale groep. 8s: 8 bytes voor een domein Global/Universal groep SID.

Daarom hebt u de waarde van een MaxTokenSize van 0x0000FFFF (64 kB), u mogelijk in de buffer van ongeveer 1600 domein lokale groep SID of ongeveer 8000 domein Global/Universal groep SID. Als u 'vertrouwd voor overdracht' gebruikt, kan de buffer vereiste voor elke SID worden verdubbeld. U kunt slechts ongeveer 800 domein lokale groep SID's opslaan in deze scenario's, wanneer de waarde van een MaxTokenSize van 64K wordt gebruikt. Met alleen domein lokale groep SID is echter niet een typisch scenario. Een waarde van 64 kB moet voldoende zelfs voor Overdrachtsscenario's.

Bekende problemen met het Internet informatie Server HTTP ontvangstbuffer:

Internet Information Server (IIS) gebruikt een buffergrootte verlaagde aanvraag te beperken van een denial of service-aanvalsvector van 64 KB. Echter, een Kerberos-Ticket in een HTTP-aanvraag is gecodeerd als een Base64 (zes bits uitgebreid naar 8-bits). Bovendien en het Kerberos-Ticket 133 procent van de oorspronkelijke grootte. Daarom, wanneer de maximale buffergrootte 64 KB in IIS is, 48 KB van een Kerberos-Ticket worden gebruikt.

Als u de registervermelding MaxTokenSize ingesteld op een waarde die groter is dan 48000 en de bufferruimte voor SID's wordt gebruikt, treedt er een fout van IIS. Echter, als u de registervermelding MaxTokenSize ingesteld op 48000, een Kerberos-fout optreden.

Klik op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base voor meer informatie over IIS-buffergrootte:
310156 Het beperken van de grootte van de header van de HTTP-overdracht die IIS van een client in Windows 2000 accepteert

920862 Foutbericht wanneer een gebruiker Outlook Web Access probeert te krijgen tot een postbus in Exchange Server 2003: ' HTTP-fout 400 Ongeldig verzoek (aanvraagheader te lang) "

Windows Server 2012 wijzigingen

De volgende wijzigingen Windows Server 2012 geïntroduceerd om de overwegingen over deze buffer:
  • De standaardwaarde voor MaxTokenSize verandert 48.000 bytes.
  • Er is een nieuw schema voor het comprimeren van de SID's in de PAC.
  • Dynamic Access Control wordt Active Directory aanspraken op het Ticket. Berekening van de grootte van de verwachte ticket is daarom niet meer eenvoudig. De verwachting is dat tickets die zijn uitgegeven door domeincontrollers Windows Server 2012 kleiner is dan de hetzelfde tickets die zijn uitgegeven uit oudere versies van het besturingssysteem. Claims toevoegen aan de ticketgrootte. Echter nadat Windows Server 2012 bestandsservers grotendeels claims worden gebruikt, kunt u verwachten veel van de groepen die toegang tot het bestand voor het bijsnijden van ticket formaten geleidelijk.

Ga naar de volgende Microsoft TechNet-website voor meer informatie over Windows Server 2012 wijzigingen:
http://technet.Microsoft.com/en-us/library/hh831717.aspx

Voorbeelden van problemen wanneer de ticketgrootte is overschreden

Klik op de volgende artikelnummers in de Microsoft Knowledge Base voor meer informatie:
277741 Internet Explorer-aanmelding mislukt vanwege een onvoldoende buffer voor Kerberos
313661 Foutbericht: 'De time-out is verlopen' treedt op wanneer u verbinding met SQL Server via TCP/IP maakt en de Kerberos MaxTokenSize groter dan 0xFFFF is

Omdat u interdomein-aanmelding scenario's in het forest wellicht, kan de waarde moet forest-dekkende op alle Windows-systemen worden ingesteld. Daarom is het raadzaam dat de maximumwaarde voor de waarde MaxTokenSize 64 kB zijn.

Belangrijk Op de SQL Server-clients wordt het volgende foutbericht weergegeven wanneer dit probleem optreedt:
Kan geen SSPI-context genereren
U lost dit probleem, moet u de registerwaarde MaxTokenSize instellen voor de computers die bij het Kerberos-verificatieproces betrokken zijn. Het gaat hierbij om de SQL Server-clients.

Eigenschappen

Artikel ID: 327825 - Laatste beoordeling: donderdag 10 oktober 2013 - Wijziging: 4.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
Trefwoorden: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.
De Engelstalige versie van dit artikel is de volgende: 327825

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com