Artigo: 327825 - �ltima revis�o: quarta-feira, 19 de Maio de 2010 - Revis�o: 13.0

Nova resolu��o de problemas com a autentica��o Kerberos quando os utilizadores pertencem a quantidade de grupos

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Ver isen��o de responsabilidades para tradu��o autom�tica

Ver produtos para os quais este artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Quando um utilizador pertence a v�rios grupos, esse utilizador poder� ter problemas de autentica��o ou com as defini��es de pol�tica de grupo. Os seguintes artigos da base de dados de conhecimento da Microsoft descrevem estes sintomas mais detalhadamente:

269643� (http://support.microsoft.com/kb/269643/ ) Internet Explorer A autentica��o Kerberos n�o funciona de uma mem�ria interm�dia insuficiente ligar ao IIS

280380� (http://support.microsoft.com/kb/280380/ ) Explora��o de sobrecarga da mem�ria interm�dia poss�vel com os procedimentos armazenados estendidos

A resolu��o existente que est� descrita nestes artigos indica ao modificar o valor de registo MaxTokenSize. Foi efectuada uma melhoria esta resolu��o. Se utilizar a correc��o descrita neste artigo, n�o poder� ter de editar o valor de MaxTokenSize predefinido.

A correc��o descrita neste artigo substitui as correc��es que s�o descritas nos artigos da base de dados de conhecimento listados nesta sec��o.

Voltar ao topo

Causa

O utilizador n�o � capaz de autenticar porque os Kerberos token que � gerada durante a autentica��o tentativas tem um tamanho m�ximo fixo. Transportes, tais como a chamada de procedimento remoto (RPC) e HTTP dependem do valor de MaxTokenSize quando lhes atribuir mem�rias interm�dias para autentica��o. No Windows 2000 (a vers�o original), o valor MaxTokenSize � 8.000 bytes. No Windows 2000 Service Pack 2 (SP2) e Microsoft Windows Server 2003, o valor MaxTokenSize � 12.000 bytes.

Se um utilizador for membro de mais do que 120 grupos, a mem�ria interm�dia que � determinada pelo valor MaxTokenSize n�o � suficientemente grande. Como resultado, os utilizadores n�o podem ser autenticados, e poder�o receber uma mensagem de erro "mem�ria esgotada". Antes de aplicar a correc��o descrita neste artigo, cada grupo no qual � adicionado a uma conta de utilizador aumenta a esta mem�ria interm�dia por 40 bytes.

Nota: em v�rios cen�rios, o Windows NTLM autentica��o funciona conforme esperado; poder� n�o detectar o problema de autentica��o Kerberos sem an�lise. No entanto, os cen�rios em que as defini��es de pol�tica de grupo s�o aplicadas poder�o n�o funcionar conforme esperado.

Voltar ao topo

Resolu��o

Nota Windows Server 2003, Windows Vista, Windows Server 2008 e Windows XP Professional incluem uma correc��o para este problema.

Voltar ao topo

Informa��es sobre o Service pack

Para resolver este problema, obtenha o service pack mais recente para o Microsoft Windows 2000. Para obter mais informa��es, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

260910� (http://support.microsoft.com/kb/260910/ ) Como obter o service pack mais recente do Windows 2000

Voltar ao topo

Informa��es sobre a correc��o

Tem j� dispon�vel na Microsoft uma correc��o suportada. Contudo, destina-se a corrigir o problema descrito neste artigo. Aplique-a apenas em sistemas que tenham este problema espec�fico. Esta correc��o poder� ser submetida a testes adicionais. Por conseguinte, se n�o estiver a ser gravemente afectado por este problema, recomendamos que aguarde o pr�ximo service pack do Windows 2000 que contenha esta correc��o.

Para resolver este problema imediatamente, contacte o suporte t�cnico da Microsoft para obter a correc��o. Para obter uma lista completa dos n�meros de telefone do suporte t�cnico da Microsoft e informa��es sobre os custos de suporte, visite o seguinte Web site da Microsoft:

http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)

Nota Em casos especiais, os custos normalmente inerentes �s chamadas de suporte poder�o ser anulados se um t�cnico de suporte da Microsoft determinar que uma actualiza��o espec�fica resolver� o problema. Os custos normais do suporte ser�o aplicados a perguntas de suporte adicionais e problemas que n�o se enquadrem na atualiza��o espec�fica em quest�o.A vers�o inglesa desta correc��o tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros s�o indicadas na hora universal coordenada (UTC). Quando visualiza as informa��es do ficheiro, s�o convertida para a hora local. Para determinar a diferen�a entre a UTC e a hora local, utilize o separador Fuso hor�rio no item Data e hora no painel de controlo.

   Date         Time    Version         Size      File name
    -------------------------------------------------------- 
   26-Sep-2002  11:39   5.0.2195.6069   124,176   Adsldp.dll 
   26-Sep-2002  11:39   5.0.2195.5781   131,344   Adsldpc.dll 
   26-Sep-2002  11:39   5.0.2195.5781    62,736   Adsmsext.dll 
   26-Sep-2002  11:39   5.0.2195.6052   358,160   Advapi32.dll 
   26-Sep-2002  11:39   5.0.2195.6058    49,424   Browser.dll 
   26-Sep-2002  11:39   5.0.2195.6012   135,952   Dnsapi.dll 
   26-Sep-2002  11:39   5.0.2195.6012    96,016   Dnsrslvr.dll 
   26-Sep-2002  11:39   5.0.2195.5722    45,328   Eventlog.dll 
   26-Sep-2002  11:39   5.0.2195.6059   146,704   Kdcsvc.dll 
   05-Sep-2002  14:18   5.0.2195.6048   200,976   Kerberos.dll 
   21-Aug-2002  05:27   5.0.2195.6023    71,248   Ksecdd.sys 
   25-Sep-2002  15:01   5.0.2195.6072   507,664   Lsasrv.dll 
   25-Sep-2002  15:01   5.0.2195.6072    33,552   Lsass.exe 
   27-Aug-2002  11:53   5.0.2195.6034   108,816   Msv1_0.dll 
   26-Sep-2002  11:39   5.0.2195.5979   307,472   Netapi32.dll 
   26-Sep-2002  11:39   5.0.2195.5966   360,720   Netlogon.dll 
   26-Sep-2002  11:39   5.0.2195.6048   918,800   Ntdsa.dll 
   26-Sep-2002  11:39   5.0.2195.6025   389,392   Samsrv.dll 
   26-Sep-2002  11:39   5.0.2195.5951   129,296   Scecli.dll 
   26-Sep-2002  11:39   5.0.2195.5951   302,864   Scesrv.dll 
   26-Sep-2002  11:39   5.0.2195.5859    48,912   W32time.dll 
   04-Jun-2002  10:32   5.0.2195.5859    57,104   W32tm.exe 
   26-Sep-2002  11:39   5.0.2195.6052   126,224   Wldap32.dll

Voltar ao topo

Ponto Da Situa��o

A Microsoft confirmou que este � um problema nos produtos da Microsoft listados na sec��o "Aplica-se a". Este problema foi corrigido pela primeira vez no Microsoft Windows 2000 Service Pack 4.

Voltar ao topo

Mais Informa��o

Anteriormente, se os utilizadores detectou este problema, tinha de ajustar o valor de Kerberos MaxTokenSize para retomar as opera��es. Para resolver este problema, tinha de actualizar este valor em todas as esta��es de trabalho do dom�nio.

Se utilizar a correc��o descrita neste artigo, n�o � necess�rio modificar o valor de registo MaxTokenSize na maior parte dos casos. No entanto, existem alguns cen�rios em que � necess�rio modificar o valor de registo MaxTokenSize depois de aplicar esta correc��o. Depois de aplicar esta correc��o todos os controladores de dom�nio, utilize a seguinte f�rmula para determinar se precisa de modificar o valor de MaxTokenSize:

TokenSize = 1200 + 40 d + 8s

Esta f�rmula utiliza os seguintes valores:

d: o n�mero de grupos locais de dom�nio que um utilizador for membro de mais o n�mero de grupos universais fora do dom�nio de conta do utilizador mais o n�mero de grupos representado em seguran�a o hist�rico ID (SID).
s: o n�mero de grupos globais de seguran�a que um utilizador for membro de mais o n�mero de grupos universais no dom�nio da conta do utilizador.
1200: O valor estimado de sobrecarga de permiss�o. Este valor pode variar dependendo de factores tais como o comprimento do nome de dom�nio DNS, nome do cliente e outros factores.

Em cen�rios em que � utilizada delega��o (por exemplo, quando os utilizadores autenticados num controlador de dom�nio), a Microsoft recomenda que duas vezes o tamanho do token.

Se o tamanho do token que calculam utilizando esta f�rmula for inferior a 12.000 bytes (o tamanho predefinido), n�o � necess�rio modificar o valor de registo MaxTokenSize nos clientes de dom�nio. Se o valor for superior a 12.000 bytes, consulte o seguinte artigo da base de dados de conhecimento para obter uma descri��o de como ajustar o valor de registo MaxTokenSize:

263693� (http://support.microsoft.com/kb/263693/ ) A pol�tica de grupo n�o pode ser aplicada a utilizadores pertencentes a v�rios grupos

Para obter mais informa��es sobre como obter uma correc��o para o Windows 2000 Datacenter Server, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

265173� (http://support.microsoft.com/kb/265173/ ) O Produto programa Datacenter e o Windows 2000 Datacenter Server

Notas

Quando altera MaxTokenSize, tem de reiniciar o computador para que a altera��o seja eficaz.
O valor m�ximo recomendado � de 65535 decimal ou FFFF hexadecimal. O valor de MaxTokenSize Especifica uma permiss�o Kerberos fixa recebem da mem�ria interm�dia que cont�m os SID que representam os grupos dos quais a conta � membro. Mais tarde, o servi�o de autoridade de seguran�a local (LSA) gera o token desta mem�ria interm�dia SID. O limite codificados de cliente defin�vel SID para este token � 1,015. Para obter mais informa��es, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
328889� (http://support.microsoft.com/kb/328889/ ) Utilizadores que s�o membros de 1,015 mais do que grupos podem haver falha na autentica��o de in�cio de sess�o

Por conseguinte, um valor de MaxTokenSize de SID eficaz 1015 mais do que n�o � �til. Na seguinte f�rmula:

MaxTokenSize = 1200 + 40 d + 8s

40 d significa que tem tem 40 bytes para um SID de grupo local de dom�nio. 8S significa 8 bytes para um SID de grupo do dom�nio global/universal. Por conseguinte, se tiver um valor de MaxTokenSize de 0x0000FFFF (64 K), poder� aproximadamente 1600 dom�nio local grupo SID ou aproximadamente 8000 dom�nio global/universal grupo SID de mem�ria interm�dia. Se utilizar contas "fidedigno para delega��o", os requisitos de mem�ria interm�dia para cada SID podem ser duplicado. Nestes cen�rios, pode armazenar apenas cerca de 800 Domain SID de grupo local quando � utilizado um valor de MaxTokenSize de 64 K. No entanto, ter apenas dom�nio local grupo SID n�o � um cen�rio realista. Um valor de 64 K deve ser suficiente para cen�rios de delega��o. Al�m disso, as aplica��es poder�o ter problemas se numa mem�ria interm�dia de tamanho token contiver mais do que 64 K.

Para obter mais informa��es, clique nos n�meros de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:

277741� (http://support.microsoft.com/kb/277741/ ) In�cio de sess�o do Internet Explorer falha devido a uma mem�ria interm�dia insuficiente para Kerberos

313661� (http://support.microsoft.com/kb/313661/ ) Mensagem de erro: "O tempo de espera expirou" ocorre quando liga ao SQL Server atrav�s de TCP/IP e MaxTokenSize o Kerberos for superior a 0xFFFF

Uma vez que pode ter cen�rios de dom�nios de in�cio de sess�o na sua floresta, o valor deve ser definido em toda a floresta em todos os sistemas baseados no Windows. Por conseguinte, recomendamos que o valor m�ximo para o valor MaxTokenSize ser 64 K.

Nos clientes de SQL Server, poder� receber a seguinte mensagem de erro quando este problema ocorre:

N�o � poss�vel gerar contexto SSPI

Para resolver este problema, tem de definir o valor de registo MaxTokenSize para todos os computadores envolvidos no processo de autentica��o Kerberos, incluindo os clientes de SQL Server.

Voltar ao topo

A informa��o contida neste artigo aplica-se a:

Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Service Pack 3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Service Pack 3
Microsoft Windows XP Professional Edition
Microsoft Windows XP Professional 64-Bit Edition (Itanium)
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003, Standard x64 Edition
Windows Vista Business
Windows Vista Enterprise
Windows Vista Ultimate
Windows Vista Business 64-bit edition
Windows Server 2008 Datacenter without Hyper-V
Windows Server 2008 Enterprise without Hyper-V
Windows Server 2008 for Itanium-Based Systems
Windows Server 2008 Standard without Hyper-V
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Web Server 2008

Voltar ao topo

kbmt kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix KB327825 KbMtpt

Voltar ao topo

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine translation ou MT), n�o tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais. O objectivo � simples: oferecer em Portugu�s a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradu��o autom�tica n�o � sempre perfeita. Esta pode conter erros de vocabul�rio, sintaxe ou gram�tica? erros semelhantes aos que um estrangeiro realiza ao falar em Portugu�s. A Microsoft n�o � respons�vel por incoer�ncias, erros ou estragos realizados na sequ�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualiza��es frequentes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 327825� (http://support.microsoft.com/kb/327825/en-us/ )

Voltar ao topo

This site in other countries/regions:

Nova resolu��o de problemas com a autentica��o Kerberos quando os utilizadores pertencem a quantidade de grupos

Nesta p�gina

Sintomas

Causa

Resolu��o

Informa��es sobre o Service pack

Informa��es sobre a correc��o

Ponto Da Situa��o

Mais Informa��o

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Obtenha Ajuda Agora

Tradu��es de Artigos

Centros de suporte relacionados