Iniciar Sess�o

Select the product you need help with

Problemas com a autentica��o Kerberos quando um usu�rio pertencer a muitos grupos

ID do artigo: 327825 - Exibir os produtos aos quais esse artigo se aplica.

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Suporte para Windows Vista Service Pack 1 (SP1) termina em 12 de julho de 2011. Para continuar recebendo atualiza��es de seguran�a para Windows, verifique se est� executando o Windows Vista com Service Pack 2 (SP2). Para obter mais informa��es, consulte esta p�gina da Web Microsoft: O suporte est� terminando em algumas vers�es do Windows
(http://windows.microsoft.com/en-us/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs)
.

Expandir tudo | Recolher tudo

Nesta p�gina

Sintomas

Quando um usu�rio pertence a v�rios grupos, que o usu�rio pode ter problemas com a autentica��o ou com as configura��es de diretiva de grupo. Os seguintes artigos da Base de dados de Conhecimento da Microsoft descrevem esses sintomas mais detalhadamente:

269643

(http://support.microsoft.com/kb/269643/ )

Internet A autentica��o Kerberos Explorer n�o funciona devido a um insuficiente buffer conectando-se ao IIS

280380

(http://support.microsoft.com/kb/280380/ )

Explora��o de estouro de buffer poss�vel com procedimentos armazenados estendidos

2020943

(http://support.microsoft.com/kb/2020943/ )

Erro "HTTP 400 - Solicita��o incorreta (solicita��o de cabe�alho muito longo)" no Internet Information Services (IIS)

A resolu��o descrita neste artigo instrui voc� modifique o valor de registro MaxTokenSize. Um aperfei�oamento foi feito essa resolu��o. Se voc� usar o hotfix descrito neste artigo, voc� n�o ter� que editar o valor de MaxTokenSize padr�o.

O hotfix descrito neste artigo substitui os hotfixes descritos nos artigos da Base de dados de Conhecimento da Microsoft que est�o listados nesta se��o.

Voltar para o in�cio | Submeter coment�rios

Causa

O usu�rio n�o � poss�vel autenticar porque o token Kerberos gerado durante as tentativas de autentica��o tem um tamanho m�ximo fixo. Transportes como chamada de procedimento remoto (RPC) e HTTP contam com o valor de MaxTokenSize quando eles alocar buffers para autentica��o. No Windows 2000 (vers�o original), o valor de MaxTokenSize � 8.000 bytes. No Windows 2000 Service Pack 2 (SP2) e Windows Server 2003, o valor de MaxTokenSize � 12.000 bytes.

Kerberos usa o campo de certificado de atributo de privil�gio (PAC) do pacote Kerberos para transporte de associa��o de grupo do Active Directory. A partir do Windows Server 2012, isso tamb�m se aplica ao campo de informa��es (controle de acesso din�mico) declara��es do Active Directory. Se houver muitos membros do grupo para o usu�rio, e se h� muitas declara��es para o usu�rio ou dispositivo que est� sendo usado, esses campos podem ocupar muito espa�o no pacote.

Se um usu�rio for um membro dos grupos de mais de 120, o buffer � determinado pelo valor MaxTokenSize n�o � grande o suficiente. Portanto, os usu�rios n�o autenticados e podem receber uma mensagem de erro "mem�ria insuficiente". Antes de aplicar o hotfix descrito neste artigo, cada grupo � adicionado a uma conta de usu�rio aumenta esse buffer de 40 bytes.

Observa��o Em muitos cen�rios, a autentica��o NTLM do Windows funciona conforme o esperado. Voc� pode n�o ver o problema de autentica��o Kerberos sem an�lise. No entanto, os cen�rios em que s�o aplicadas as configura��es de diretiva de grupo podem n�o funcionar conforme o esperado.

Voltar para o in�cio | Submeter coment�rios

Resolu��o

Importante�Para resolver esse problema, voc� deve definir o valor de registro MaxTokenSize para todos os computadores que est�o envolvidos no processo de autentica��o Kerberos. Isso inclui os clientes do SQL Server.�(Isto �, a chave do registro tem que ser definida em cada computador que est� envolvido no fluxo de solicita��o/resposta. Portanto, se houver um cliente do SQL Server no qual um aplicativo da web baseia-se, ou se o token do usu�rio deve ser passado para um banco de dados do SQL Server back-end, a chave do registro tem que ser definida no computador cliente do SQL Server, o computador do banco de dados do SQL Server e tamb�m o computador cliente que esteja executando o Internet Explorer, o servidor web executando o que est� executando o IISe assim por diante.)

Observa��o As seguintes vers�es do Windows incluem uma corre��o para esse problema:

O Windows 8
Windows Server 2012
Windows 7
Windows Server 2008 R2
Windows Server 2003
O Windows Vista
Windows Server 2008
Windows XP Professional

Informa��es do Service pack

Para resolver esse problema, obtenha o service pack mais recente para o Microsoft Windows 2000. Para obter mais informa��es, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

260910

(http://support.microsoft.com/kb/260910/ )

Como Obtenha o service pack mais recente do Windows 2000

Informa��es sobre hotfix

Agora h� um hotfix com suporte da Microsoft. No entanto, destina-se apenas a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema espec�fico. Esse hotfix pode receber testes adicionais. Portanto, se esse problema n�o o prejudicar, recomendamos que voc� aguarde o pr�ximo servi�o do Windows 2000 Pack que cont�m esse hotfix.

Para resolver esse problema imediatamente, contate o Atendimento Microsoft para obter o hotfix. Para uma lista completa dos n�meros de telefone do Atendimento Microsoft e informa��es sobre os custos de suporte, visite o seguinte site da Microsoft:

http://support.microsoft.com/contactus/?WS=support

(http://support.microsoft.com/contactus/?ws=support)

Observa��o Em alguns casos, taxas cobradas pelas liga��es para o suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualiza��o espec�fica resolver� o problema. Os custos normais de suporte ser�o aplicados a perguntas de suporte adicionais e problemas que n�o se qualificam � atualiza��o espec�fica em quest�o.A vers�o em ingl�s deste hotfix tem os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos est�o listadas em formato Tempo Universal Coordenado (UTC). Quando voc� exibir as informa��es do arquivo, ele � convertido em hora local. Para localizar a diferen�a entre o UTC e a hora local, use o Fuso hor�rio guia no item Data e hora no painel de controle.

Voltar para o in�cio | Submeter coment�rios

Situa��o

Microsoft confirmou que este � um problema nos produtos Microsoft que est�o listados na se��o "Aplica-se a". Esse problema foi corrigido primeiro no Microsoft Windows 2000 Service Pack 4.

Voltar para o in�cio | Submeter coment�rios

Mais Informa��es

Token tamanho c�lculo Windows 2000 para Windows Server 2008 R2

Se voc� usar o hotfix descrito neste artigo, n�o � necess�rio modificar o valor de registro MaxTokenSize na maioria dos casos. No entanto, existem alguns cen�rios em que voc� precise modificar o valor de registro MaxTokenSize ap�s aplicar esse hotfix. Depois de aplicar esta correc��o hotfix para todos os controladores de dom�nio, use a seguinte f�rmula para determinar Se voc� precisa modificar o valor de MaxTokenSize:

TokenSize = 1200 + 40 d + 8s

Essa f�rmula usa os seguintes valores:

d: o n�mero de um usu�rio � membro dos grupos locais de dom�nio mais o n�mero de grupos universais fora do dom�nio de conta do usu�rio que o usu�rio seja membro de mais o n�mero de grupos representados na seguran�a do hist�rico do SID (identificador).
s: o n�mero de grupos globais de seguran�a que um usu�rio � um membro de mais o n�mero de grupos universais no dom�nio da conta do usu�rio que o usu�rio � um membro de.
1200: O valor estimado para a sobrecarga de t�quete. Esse valor pode variar, dependendo de fatores como o comprimento do nome de dom�nio DNS, nome do cliente e outros fatores.

Em situa��es em que a delega��o � usada (por exemplo, quando os usu�rios s�o autenticados em um controlador de dom�nio), recomendamos que voc� clique duas vezes o tamanho de token.

Quando definir a entrada do registro

Se o tamanho de token que calcular usando esta f�rmula � menos de 12.000 bytes (o tamanho padr�o), n�o � necess�rio modificar o valor de registro MaxTokenSize em clientes de dom�nio. Se o valor for mais de 12.000 bytes, consulte o seguinte artigo da Base de dados de Conhecimento da Microsoft para um Descri��o de como ajustar o valor de registro MaxTokenSize:

263693

(http://support.microsoft.com/kb/263693/ )

Diretiva de grupo n�o pode ser aplicada a usu�rios que pertencem a muitos grupos

Observa��es

Quando voc� altera o valor de MaxTokenSize, voc� deve reiniciar o computador para que a altera��o seja eficaz.

O valor m�ximo recomendado � 65535 decimal ou hexadecimal de FFFF. O valor de MaxTokenSize Especifica um t�quete Kerberos fixo receber o buffer que cont�m os SIDs que representam os grupos em que a conta � membro. Posteriormente, o servi�o de autoridade de seguran�a Local (LSA) gera o token de buffer esse SID. O limite codificado de cliente defin�veis SIDs para esse token � 1,015, consulte este artigo do KB:
328889 Usu�rios que s�o membros dos grupos mais de 1,015 poder�o falhar a autentica��o de logon
http://support.microsoft.com/KB/328889/en-US

(http://support.microsoft.com/kb/328889/EN-US)

Portanto, um valor de MaxTokenSize para mais de 1015 SIDs eficaz n�o � �til. Na f�rmula a seguir:

MaxTokenSize = 1200 + 40 d + 8s

d 40 � que voc� tem 40 bytes para um SID de Grupo Local de dom�nio. 8s significa 8 bytes para um SID de grupo do dom�nio Global/Universal.

Portanto, se voc� tiver um valor MaxTokenSize 0x0000FFFF (64K), voc� poder� aproximadamente 1600 grupo SIDs locais ou aproximadamente 8000 dom�nio Global/Universal grupo SIDs de buffer. Se voc� usar contas "confi�vel para delega��o", o requisito de buffer para cada SID pode ser dupla. Nessas situa��es, voc� s� pode armazenar aproximadamente 800 dom�nio SIDs de Grupo Local quando � usado um valor de MaxTokenSize de 64K. No entanto, ter somente grupo SIDs locais n�o � um cen�rio t�pico. Um valor de 64 K deve ser suficiente at� mesmo para cen�rios de delega��o.

Altera��es do Windows Server 2012

Windows Server 2012 introduziu as seguintes altera��es para as considera��es sobre esse buffer:

O padr�o para MaxTokenSize � alterado para 48.000 bytes.
H� um novo esquema para compactar os sids no PAC
Controle de acesso din�mico adiciona declara��es de diret�rio ativo para o t�quete. Portanto, calcular o tamanho esperado de t�quete n�o � mais simples. A expectativa � que os t�quetes emitidos pelos controladores de dom�nio do Windows Server 2012 s�o menores do que o mesmos t�quetes emitidos de vers�es mais antigas do sistema operacional. Declara��es aumentam o tamanho do t�quete. No entanto, depois que os servidores de arquivos Windows Server 2012 estiverem usando declara��es amplamente, voc� pode esperar a fase de um n�mero significativo de seus grupos que controlam o acesso de arquivo para aparar tamanhos de t�quete.

Para obter mais informa��es sobre as altera��es do Windows Server 2012, visite o seguinte site da Microsoft TechNet:

http://technet.microsoft.com/en-us/library/hh831717.aspx

(http://technet.microsoft.com/en-us/library/hh831717.aspx)

Exemplos de problemas quando o tamanho do t�quete for excedido

Para obter mais informa��es, clique nos n�meros abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:

277741

(http://support.microsoft.com/kb/277741/ )

Falha de logon do Internet Explorer devido a um buffer insuficiente para o Kerberos

313661

(http://support.microsoft.com/kb/313661/ )

Mensagem de erro: "Tempo limite expirou" ocorre quando voc� se conectar ao SQL Server sobre TCP/IP e o Kerberos MaxTokenSize � maior que 0xFFFF

Porque voc� pode ter os cen�rios de logon entre dom�nios na floresta, o valor deve ser definido em toda a floresta em todos os sistemas baseados no Windows. Portanto, recomendamos que o valor m�ximo para o valor de MaxTokenSize seja 64K.

Importante Nos clientes do SQL Server, voc� receber� a seguinte mensagem de erro quando esse problema ocorre:

N�o � poss�vel gerar contexto SSPI

Para resolver esse problema, voc� deve definir o valor de registro MaxTokenSize para todos os computadores que est�o envolvidos no processo de autentica��o Kerberos. Isso inclui os clientes do SQL Server.

Voltar para o in�cio | Submeter coment�rios

Propriedades

ID do artigo: 327825 - �ltima revis�o: quarta-feira, 20 de fevereiro de 2013 - Revis�o: 2.0

A informa��o contida neste artigo aplica-se a:

Microsoft Windows XP Professional
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 Service Pack 2
Windows Vista Business
Windows Vista Enterprise
Windows Vista Ultimate
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Web Server 2008
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Foundation
Windows Server 2008 R2 Standard
Windows 7 Enterprise
Windows 7 Professional
Windows 7 Ultimate
Windows Server 2012 Datacenter
Windows Server 2012 Essentials
Windows Server 2012 Foundation
Windows Server 2012 Standard
Windows 8 Enterprise
Windows 8 Pro
Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Datacenter x64 Edition
Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Enterprise x64 Edition
Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
Microsoft Windows Server 2003 R2 Standard x64 Edition

kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 327825

(http://support.microsoft.com/kb/327825/en-us/ )

Voltar para o in�cio | Submeter coment�rios

Submeter coment�rios

Voltar para o in�cio

Select the product you need help with

Problemas com a autentica��o Kerberos quando um usu�rio pertencer a muitos grupos

Nesta p�gina

Sintomas

Causa

Resolu��o

Informa��es do Service pack

Informa��es sobre hotfix

Situa��o

Mais Informa��es

Token tamanho c�lculo Windows 2000 para Windows Server 2008 R2

Quando definir a entrada do registro

Altera��es do Windows Server 2012

Exemplos de problemas quando o tamanho do t�quete for excedido

Propriedades

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Submeter coment�rios

Tradu��es deste artigo