ID do artigo: 327825 - �ltima revis�o: quarta-feira, 19 de maio de 2010 - Revis�o: 13.0

Nova resolu��o de problemas com a autentica��o Kerberos quando os usu�rios pertencem a muitos grupos

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Quando um usu�rio pertencer a muitos grupos, que o usu�rio pode ter problemas com a autentica��o ou com as configura��es de diretiva de grupo. Os seguintes artigos da Base de dados de Conhecimento da Microsoft descrevem esses sintomas mais detalhadamente:

269643� (http://support.microsoft.com/kb/269643/ ) Internet Explorer A autentica��o Kerberos n�o funciona por causa de um buffer insuficiente conectando ao IIS

280380� (http://support.microsoft.com/kb/280380/ ) Explora��o de estouro de buffer poss�vel com procedimentos armazenados estendidos

A resolu��o existente descrito esses artigos instrui para modificar o valor de registro MaxTokenSize. Um aperfei�oamento foi feito para esta resolu��o. Se voc� usar o hotfix descrito neste artigo, talvez n�o seja necess�rio editar o valor de MaxTokenSize padr�o.

O hotfix descrito neste artigo substitui os hotfixes descritos nos artigos da Base de dados de Conhecimento da Microsoft listados nesta se��o.

Voltar para o in�cio

Causa

O usu�rio n�o � capaz de autenticar porque os Kerberos token que � gerado durante a autentica��o tentativas tem um tamanho m�ximo fixo. Transportes como chamada de procedimento remoto (RPC) e HTTP depende o valor MaxTokenSize quando eles alocar buffers para autentica��o. No Windows 2000 (vers�o original lan�ada), o valor MaxTokenSize � 8.000 bytes. No Windows 2000 Service Pack 2 (SP2) e Microsoft Windows Server 2003, o valor MaxTokenSize � 12 mil bytes.

Se um usu�rio for um membro dos grupos mais de 120, o buffer � determinado pelo valor MaxTokenSize n�o � grande o suficiente. Como resultado, os usu�rios n�o poder�o autenticar e eles podem receber uma mensagem de erro "falta de mem�ria". Antes de aplicar o hotfix descrito neste artigo, cada grupo � adicionado a uma conta de usu�rio aumenta esse buffer 40 bytes.

Observa��o: em muitos cen�rios, o Windows NTLM autentica��o funciona como esperado; voc� pode n�o ver o problema de autentica��o Kerberos sem an�lise. No entanto, os cen�rios em que as configura��es de diretiva de grupo s�o aplicadas podem n�o funcionar conforme o esperado.

Voltar para o in�cio

Resolu��o

Observa��o: Windows Server 2003, Windows Vista, Windows Server 2008 e Windows XP Professional incluem uma corre��o para esse problema.

Voltar para o in�cio

Informa��es sobre o Service pack

Para resolver esse problema, obtenha o service pack mais recente para o Microsoft Windows 2000. Para obter mais informa��es, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

260910� (http://support.microsoft.com/kb/260910/ ) Como obter o service pack mais recente do Windows 2000

Voltar para o in�cio

Informa��es sobre hotfix

Um hotfix compat�vel foi disponibilizado pela Microsoft. No entanto, destina-se a corrigir o problema descrito neste artigo. Aplique-o somente nos sistemas que apresentarem esse problema espec�fico. Esta correc��o pode ser submetida a testes adicionais. Portanto, se esse problema n�o o prejudicar, recomendamos que voc� aguarde o pr�ximo service pack do Windows 2000 que cont�m esse hotfix.

Para resolver esse problema imediatamente, contate o atendimento ao cliente Microsoft para obter o hotfix. Para obter uma lista completa de n�meros de telefone do servi�os de suporte ao cliente da Microsoft e informa��es sobre os custos de suporte, visite o seguinte site da Microsoft:

http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)

Observa��o: Em alguns casos, taxas cobradas pelas liga��es para o suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualiza��o espec�fica resolver� o problema. Os custos normais de suporte ser�o aplicados a quest�es de suporte adicionais e problemas que n�o se qualificam � atualiza��o espec�fica em quest�o.A vers�o em ingl�s deste hotfix apresenta os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos s�o listadas em UTC (hora coordenada universal COORDENADO). Quando voc� exibe as informa��es do arquivo, ele � convertido em hora local. Para encontrar a diferen�a entre o UTC e a hora local, use a guia fuso hor�rio no item Data e hora no painel de controle.

   Date         Time    Version         Size      File name
    -------------------------------------------------------- 
   26-Sep-2002  11:39   5.0.2195.6069   124,176   Adsldp.dll 
   26-Sep-2002  11:39   5.0.2195.5781   131,344   Adsldpc.dll 
   26-Sep-2002  11:39   5.0.2195.5781    62,736   Adsmsext.dll 
   26-Sep-2002  11:39   5.0.2195.6052   358,160   Advapi32.dll 
   26-Sep-2002  11:39   5.0.2195.6058    49,424   Browser.dll 
   26-Sep-2002  11:39   5.0.2195.6012   135,952   Dnsapi.dll 
   26-Sep-2002  11:39   5.0.2195.6012    96,016   Dnsrslvr.dll 
   26-Sep-2002  11:39   5.0.2195.5722    45,328   Eventlog.dll 
   26-Sep-2002  11:39   5.0.2195.6059   146,704   Kdcsvc.dll 
   05-Sep-2002  14:18   5.0.2195.6048   200,976   Kerberos.dll 
   21-Aug-2002  05:27   5.0.2195.6023    71,248   Ksecdd.sys 
   25-Sep-2002  15:01   5.0.2195.6072   507,664   Lsasrv.dll 
   25-Sep-2002  15:01   5.0.2195.6072    33,552   Lsass.exe 
   27-Aug-2002  11:53   5.0.2195.6034   108,816   Msv1_0.dll 
   26-Sep-2002  11:39   5.0.2195.5979   307,472   Netapi32.dll 
   26-Sep-2002  11:39   5.0.2195.5966   360,720   Netlogon.dll 
   26-Sep-2002  11:39   5.0.2195.6048   918,800   Ntdsa.dll 
   26-Sep-2002  11:39   5.0.2195.6025   389,392   Samsrv.dll 
   26-Sep-2002  11:39   5.0.2195.5951   129,296   Scecli.dll 
   26-Sep-2002  11:39   5.0.2195.5951   302,864   Scesrv.dll 
   26-Sep-2002  11:39   5.0.2195.5859    48,912   W32time.dll 
   04-Jun-2002  10:32   5.0.2195.5859    57,104   W32tm.exe 
   26-Sep-2002  11:39   5.0.2195.6052   126,224   Wldap32.dll

Voltar para o in�cio

Situa��o

A Microsoft confirmou que este � um problema nos produtos da Microsoft listados na se��o "Aplica-se a". Esse problema foi corrigido primeiro no Microsoft Windows 2000 Service Pack 4.

Voltar para o in�cio

Mais Informa��es

Anteriormente, se os usu�rios detectou este problema, era necess�rio ajustar o valor de Kerberos MaxTokenSize para retomar as opera��es. Para resolver esse problema, voc� precisava atualizar este valor em todas as esta��es de trabalho do dom�nio.

Se voc� usar o hotfix descrito neste artigo, n�o � necess�rio modificar o valor de registro MaxTokenSize na maioria dos casos. No entanto, existem alguns cen�rios em que voc� precisa modificar o valor de registro MaxTokenSize ap�s aplicar esse hotfix. Ap�s aplicar esse hotfix em todos os controladores de dom�nio, use a seguinte f�rmula para determinar se voc� tem que modificar o valor MaxTokenSize:

TokenSize = 1200 + 40 d + 8s

Essa f�rmula usa os seguintes valores:

d: o n�mero de um usu�rio � membro dos grupos locais de dom�nio mais o n�mero de grupos universais fora do dom�nio de conta do usu�rio mais o n�mero de grupos representados em seguran�a hist�rico de SID (identificador).
s: o n�mero de grupos globais de seguran�a que um usu�rio � membro de mais o n�mero de grupos universais no dom�nio da conta do usu�rio.
1200: O valor estimado para permiss�o de sobrecarga. Esse valor pode variar de acordo com fatores como tamanho do nome de dom�nio DNS, nome do cliente e outros fatores.

Em cen�rios em que a delega��o � usada (por exemplo, quando os usu�rios autenticados em um controlador de dom�nio), a Microsoft recomenda que voc� duplicar o tamanho de token.

Se o tamanho de token que calculam usando esta f�rmula for menor do que 12 mil bytes (o tamanho padr�o), n�o � necess�rio modificar o valor de registro MaxTokenSize em clientes de dom�nio. Se o valor for mais de 12.000 bytes, consulte o seguinte artigo da Base de dados de Conhecimento da Microsoft para obter uma descri��o de como ajustar o valor de registro MaxTokenSize:

263693� (http://support.microsoft.com/kb/263693/ ) A diretiva de grupo n�o pode ser aplicada a usu�rios que pertencem a muitos grupos

Para obter mais informa��es sobre como obter um hotfix para Windows 2000 Datacenter Server, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

265173� (http://support.microsoft.com/kb/265173/ ) O Produto Datacenter Program e o Windows 2000 Datacenter Server

Anota��es

Quando voc� altera MaxTokenSize, reinicie o computador para que a altera��o seja eficaz.
O valor m�ximo recomendado � 65535 decimal ou hexadecimal FFFF. O valor MaxTokenSize Especifica um t�quete Kerberos fixo receber o buffer que cont�m os SIDs que representam os grupos dos quais a conta � membro. Posteriormente, o servi�o de autoridade de seguran�a local (LSA) gera o token de buffer esse SID. O limite codificado de cliente defin�veis SIDs para esse token � 1,015. Para obter mais informa��es, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
328889� (http://support.microsoft.com/kb/328889/ ) Os usu�rios que s�o membros dos grupos mais de 1,015 poder� falhar a autentica��o de logon

Portanto, n�o um valor MaxTokenSize para mais de 1015 SIDs eficaz � �til. Na f�rmula a seguir:

MaxTokenSize = 1200 + 40 d + 8s

d 40 significa que voc� deve ter 40 bytes para um SID de grupo local de dom�nio. 8s significa 8 bytes para um SID de grupo do dom�nio global/universal. Portanto, se voc� tiver um valor MaxTokenSize 0x0000FFFF (64 K), talvez seja poss�vel aproximadamente 1600 SIDs de grupo local da dom�nio ou aproximadamente 8000 dom�nio global/universal grupo SIDs de buffer. Se voc� usa contas "confi�vel para delega��o", o requisito de buffer para cada SID pode ser dobrado. Nessas situa��es, voc� s� pode armazenar aproximadamente 800 dom�nio SIDs de grupo local quando o valor de 64 K MaxTokenSize � usado. No entanto, precisar apenas dom�nio local grupo SIDs n�o � um cen�rio realista. Um valor de 64 K deve ser suficiente at� mesmo para cen�rios de delega��o. Al�m disso, os aplicativos podem ter problemas ao se um buffer de tamanho de token contiver mais de 64 K.

Para obter mais informa��es, clique nos n�meros abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:

277741� (http://support.microsoft.com/kb/277741/ ) Internet Explorer logon falha devido a um buffer insuficiente para o Kerberos

313661� (http://support.microsoft.com/kb/313661/ ) Mensagem de erro: "Tempo limite expirou" ocorre quando voc� se conectar ao SQL Server sobre TCP/IP e Kerberos MaxTokenSize � maior do que 0xFFFF

Porque voc� pode ter cen�rios logon entre dom�nios na floresta, o valor deve ser definido em toda a floresta em todos os sistemas com Windows. Portanto, recomendamos que o valor m�ximo para o valor MaxTokenSize seja 64 K.

Nos clientes do SQL Server, voc� receber� a seguinte mensagem de erro quando esse problema ocorre:

N�o � poss�vel gerar contexto SSPI

Para resolver esse problema, configure o valor de registro MaxTokenSize para todos os computadores envolvidos no processo de autentica��o Kerberos, incluindo os clientes do SQL Server.

Voltar para o in�cio

A informa��o contida neste artigo aplica-se a:

Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Service Pack 3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Service Pack 3
Microsoft Windows XP Professional
Microsoft Windows XP Professional 64-Bit Edition (Itanium)
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003 R2 Datacenter x64 Edition
Microsoft Windows Server 2003 R2 Enterprise x64 Edition
Microsoft Windows Server 2003 R2 Standard x64 Edition
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Standard x64 Edition
Windows Vista Business
Windows Vista Enterprise
Windows Vista Ultimate
Windows Vista Business 64-bit edition
Windows Server 2008 Datacenter without Hyper-V
Windows Server 2008 Enterprise without Hyper-V
Windows Server 2008 for Itanium-Based Systems
Windows Server 2008 Standard without Hyper-V
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Web Server 2008

Voltar para o in�cio

kbmt kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix KB327825 KbMtpt

Voltar para o in�cio

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 327825� (http://support.microsoft.com/kb/327825/en-us/ )

Voltar para o in�cio