Conectare

Select the product you need help with

Probleme cu autentificarea Kerberos atunci c�nd un utilizator face parte din mai multe grupuri

ID articol: 327825 - Vizualiza�i produsele pentru care se aplic� acest articol.

Face?i clic aici pentru a vedea declara?ia privind exonerarea de r�spundere a Bazei de cuno?tin?e tradus� automat

Face?i clic aici pentru a afi?a articolul tradus automat al�turi de articolul original �n limba englez�

Suport pentru Windows Vista pachet Service Pack 1 (SP1) se �ncheie pe data de 12 iulie 2011. Pentru a continua primi actualiz�ri de securitate pentru Windows, asigura�i-v� c� rula�i Windows Vista cu pachet Service Pack 2 (SP2). Pentru mai multe informa�ii, consulta�i aceast� pagin� Web Microsoft: Sprijinul se termin� pentru unele versiuni de Windows
(http://windows.microsoft.com/en-us/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs)
.

M�ri�i totul | Reduce�i totul

�n aceast� pagin�

Simptome

Atunci c�nd un utilizator face parte din mai multe grupuri, acel utilizator poate avea probleme cu autentificarea sau cu set�rile politicii de grup. Urm�toarele articole din baz� de cuno�tin�e Microsoft descriu aceste simptome mai �n detaliu:

269643

(http://support.microsoft.com/kb/269643/ )

Internet Autentificarea Kerberos Explorer nu func�ioneaz� din cauza unei insuficiente tampon conectarea la IIS

280380

(http://support.microsoft.com/kb/280380/ )

Tampon de preaplin exploata posibil cu extinse proceduri stocate

2020943

(http://support.microsoft.com/kb/2020943/ )

Eroare "HTTP 400 - Bad cerere (solicitare antet prea lung)" �n Internet Information Services (IIS)

Rezolu�ia care este descris �n aceste articole instruie�te s� modifica�i valoarea de registry MaxTokenSize. O �mbun�t��ire a fost f�cut� aceast� rezolu�ie. Dac� utiliza�i remedierea rapid� descris� �n acest articol, nu ave�i pentru a edita valoare implicit� MaxTokenSize.

Remedierea rapid� descris� �n acest articol �nlocuie�te remedierile sunt descrise �n articolele din baz� de cuno�tin�e Microsoft listate �n aceast� sec�iune.

�napoi la �nceput | Trimite?i feedback

Cauz�

Utilizatorul nu pot autentifica pentru c� simbolul Kerberos generate �n timpul de tentative de autentificare a o dimensiune maxim� fixe. Transporturi precum remote procedure call (RPC) �i HTTP se bazeaz� pe valoarea MaxTokenSize atunci c�nd acestea s� aloce tampoane pentru autentificare. �n Windows 2000 (versiunea original�), valoarea MaxTokenSize este 8.000 octe�i. �n Windows 2000 pachet Service Pack 2 (SP2) �i Windows Server 2003, valoarea MaxTokenSize este 12.000 de octe�i.

Kerberos utilizeaz� privilegiul atribut certificat (PAC) a pachetului Kerberos transportului apartenen?� la grupul de director Active. �ncep�nd cu Windows Server 2012, aceasta, de asemenea, se aplic� la c�mpul de informa�ii (Dynamic Access Control) sus�ine directorul activ. Dac� exist� multe apartenen�a la grup pentru utilizator, �i dac� exist� mai multe cereri pentru utilizator sau dispozitiv care este utilizat, aceste c�mpuri pot ocupa o mul�ime de spa�iu din pachet.

Dac� un utilizator este un membru al mai mult de 120 de grupuri, tampon care este determinat� de valoarea MaxTokenSize nu este suficient de mare. Prin urmare, utilizatorii nu pot autentifica, �i au primit un "din memorie" mesaj de eroare. �nainte de a aplica aceast� remediere rapid� care este descris� �n acest articol, fiecare grup care se adaug� un cont de utilizator cre�te acest tampon de octe�i 40.

Not� �n multe scenarii, autentificarea Windows NTLM func�ioneaz� conform a�tept�rilor. Nu pot vedea problema, autentificarea Kerberos f�r� analiz�. Cu toate acestea, scenarii �n care se aplic� set�rile de politic� de grup s� nu func�ioneze conform a�tept�rilor.

�napoi la �nceput | Trimite?i feedback

Rezolu�ie

Importante�Pentru a rezolva aceast� problem�, trebuie s� seta�i valoarea de registry MaxTokenSize pentru toate computerele care sunt implicate �n procesul de autentificare Kerberos. Aceasta include clientii SQL Server.�(Care este, cheie de registry trebuie s� fie stabilit pe fiecare computer pe care este implicat �n fluxul de cerere/r�spuns. De aceea, dac� nu exist� un client de SQL Server pe care se bazeaz� o aplica?ie web, sau dac� simbolul al utilizatorului trebuie s� fi trecut pe o baz� acoperire de date SQL Server back-end, cheie de registry trebuie s� fie stabilit pe computer client SQL Server, calculator de baze acoperire de date SQL Server �i, de asemenea, computer client care execut� Internet Explorer, server web care execut� se execut� IIS�i a�a mai departe.)

Not� Urm�toarele versiuni de Windows includ un fix pentru aceast� problem�:

Windows 8
Windows Server 2012
Windows 7
Windows Server 2008 R2
Windows Server 2003
Windows Vista
Windows Server 2008
Windows XP Professional

pachet Service Pack informa�ii

Pentru a rezolva aceast� problem�, ob�ine�i cel mai recent pachet Service Pack pentru Microsoft Windows 2000. Pentru mai multe informa�ii, face�i clic pe urm�torul num�r de articol pentru a vedea articolul �n baz� de cuno�tin�e Microsoft:

260910

(http://support.microsoft.com/kb/260910/ )

cum s� ob�ine ultimul pachet de service Windows 2000

Informa�ii despre remedierea rapid�

O remediere rapid� este acum disponibil� de la Microsoft. Cu toate acestea, acesta este destinat pentru a corecta numai problema descris� �n acest articol. Aplica�i-l numai pe sistemele care �nt�mpin� aceast� problem� anume. Aceast� remediere rapid� poate s� necesite testare suplimentar�. De aceea, dac� nu sunte�i grav afectat de aceast� problem�, v� recomand�m s� a�tepta�i urm�torul Windows 2000 service Pack care con�ine aceast� remediere rapid�.

Pentru a rezolva imediat problema, contacta�i Serviciile de asisten�� pentru clien�i Microsoft pentru a ob�ine remedierea rapid�. Pentru o list� complet� de numere de telefon serviciilor de asisten�� pentru clien�i Microsoft �i informa�ii despre costurile de asisten��, du-te la urm�torul site Web Microsoft:

http://support.Microsoft.com/contactus/?ws=support

(http://support.microsoft.com/contactus/?ws=support)

Not� �n cazuri speciale, costurile de obicei pentru apelurile de asisten�� pot fi revocate dac� un profesionist de suport Microsoft stabile�te c� o anumit� actualizare va rezolva problema. Costurile uzuale de asisten�� se vor aplica pentru �ntreb�ri suplimentare de asisten�� i pentru probleme ce nu fac obiectul actualiz�rii �n chestiune.Versiunea �n englez� a acestei remedieri rapide are atributele de fi�ier (sau atribute de fi�ier mai t�rziu) enumerate �n urm�torul tabel. Datele �i orele acestor fi�iere sunt prezentate �n ora universal� (UTC). C�nd vizualiza�i informa�iile despre fi�iere, este convertit la ora local�. Pentru a afla diferen�a �ntre UTC �i ora local�, utiliza�i Fusul orar fila din elementul dat� �i or� din Panou de control.

�napoi la �nceput | Trimite?i feedback

Stare

Microsoft a confirmat c� aceasta este o problem� �n produsele Microsoft listate �n sec�iunea "Se aplic� la". Aceast� problem� a fost corectat� prima dat� �n Microsoft Windows 2000 pachet Service Pack 4.

�napoi la �nceput | Trimite?i feedback

Informa�ii suplimentare

Semn dimensiunea calcul Windows 2000 de Windows Server 2008 R2

Dac� utiliza�i remedierea rapid� descris� �n acest articol, nu trebuie s� modifica�i valoarea de registry MaxTokenSize �n cele mai multe cazuri. Cu toate acestea, exist� unele scenarii �n care ave�i pentru a modifica valoarea de registry MaxTokenSize dup� ce aplica�i aceast� remediere rapid�. Dup� ce aplica�i aceast� remedierea rapid� toate controlerele de domeniu, utiliza�i urm�toarea formul� pentru a determina Dac� trebuie s� modifica�i valoarea MaxTokenSize:

TokenSize = 1200 + 40 d + 8s

Aceast� formul� utilizeaz� urm�toarele valori:

d: num�rul de domeniu grupuri locale un utilizator este un membru, plus num�rul de grupuri universale �n afara utilizatorului cont de domeniul pe care utilizatorul este membru al plus num�rul de grupuri reprezentate �n securitate istorie ID (SID).
s: num�rul de grupuri de securitate global�, c� un utilizator este un membru al plus num�rul de grupuri universale �ntr-un user socoteal� domeniu utilizator este un membru.
1200: Valoarea estimat� pentru bilet de regie. Aceast� valoare poate varia, �n func�ie de factori ca lungimea numelui de domeniu DNS, nume de sign-in clientului �i al�i factori.

�n scenarii �n care delegarea este utilizat (de exemplu, atunci c�nd utilizatorii se autentific� la un controler de domeniu), v� recomand�m s� v� dublu dimensiunea simbolic�.

C�nd s� seta�i intrarea registry

Dac� dimensiunea simbolic� care se calculeaz� utiliz�nd formula este mai mic de 12.000 de octe�i (dimensiunea implicit�), nu trebuie s� modifica�i valoarea de registry MaxTokenSize pe domeniu de clienti. Dac� valoarea este mai mult 12.000 de octe�i, consulta�i urm�torul articol din baz� de cuno�tin�e Microsoft pentru o Descriere a modului de a ajusta valoarea registry MaxTokenSize:

263693

(http://support.microsoft.com/kb/263693/ )

Politic� de grup nu poate fi aplicat utilizatori apar�in�nd multe grupuri

Note

C�nd modifica�i valoarea MaxTokenSize, trebuie s� reporni�i computerul astfel �nc�t schimbarea s� fie eficiente.

Valoarea maxim� recomandat� este 65535 zecimal sau hexazecimal FFFF. Valoarea MaxTokenSize specific� un bilet Kerberos fix primi tampon care con�ine SIDs care reprezint� grupuri �n care contul este un membru. Mai t�rziu, serviciul autoritate securitate local� (LSA) genereaz� token-ul la acest tampon SID. Limita greu cu coduri de client SIDs pot fi definite pentru acest token este 1,015, a se vedea acest articol KB:
328889 Utilizatorii care sunt membri ai grupurilor de mai mult 1,015 poate e�ua conecta autentificare
http://support.Microsoft.com/kb/328889/en-us

(http://support.microsoft.com/kb/328889/EN-US)

Prin urmare, o valoare MaxTokenSize pentru mai mult de 1015 SIDs eficiente nu este util�. �n urm�toarea formul�:

MaxTokenSize = 1200 + 40 d + 8s

40 d �nseamn� c� ave�i 40 octe�i pentru un domeniu Local Group SID. 8s �nseamn� 8 octe�i pentru un domeniu Global/Universal grup SID.

Prin urmare, dac� ave�i o valoare de MaxTokenSize de 0x0000FFFF (64 K), este posibil s� reu�i�i tampon aproximativ 1600 Domain Local Group SIDs sau aproximativ 8000 domeniu Global/Universal grup SIDs. Dac� utiliza�i "de �ncredere pentru delegarea" conturi, cerin�� tampon pentru fiecare SID poate fi dublat�. �n aceste scenarii, poate stoca doar aproximativ 800 Domain Local Group SIDs atunci c�nd este utilizat� o valoare MaxTokenSize de 64 K. Cu toate acestea, av�nd numai Domain Local Group SIDs nu este un scenariu tipic. O valoare de 64 K ar trebui s� fie suficient chiar �i pentru delega�ia scenarii.

Modific�rile Windows Server 2012

Windows Server 2012 a introdus urm�toarele modific�ri de aspecte despre acest tampon:

Implicit pentru MaxTokenSize modific�ri la 48000 bytes.
Exist� o nou� schem� pentru comprimarea sids �n PAC.
Control acces dinamic adaug� activ crean�elor Director la bilet. Prin urmare, calculul dimensiuni bilet de a�teptat nu mai este simpl�. A�teptare este c� biletele sunt emise de controlere de domeniu Windows Server 2012 sunt mai mici dec�t bilete acela�i care este eliberat de la versiuni mai vechi sistem de operare. Cererile se adaug� dimensiunea bilet. Cu toate acestea, dup� ce serverele de fi�iere Windows Server 2012 sunt folosind crean�e �n linii mari, v� pute�i a�tepta s� se un num�r semnificativ de grupuri de care controleaz� accesul fi�ier s� t�ia�i marimi de v�nzare bilete.

Pentru mai multe informa�ii despre Windows Server 2012 modific�ri, du-te la urm�torul site Web Microsoft TechNet:

http://TechNet.Microsoft.com/en-us/library/hh831717.aspx

(http://technet.microsoft.com/en-us/library/hh831717.aspx)

Exemple de probleme atunci c�nd se dep�?e?te dimensiunea bilet

Pentru mai multe informa�ii, face�i clic pe urm�toarele numere de articol pentru a vedea articolele �n baz� de cuno�tin�e Microsoft:

277741

(http://support.microsoft.com/kb/277741/ )

conecta Internet Explorer nu reu�e�te din cauza unui tampon insuficient pentru Kerberos

313661

(http://support.microsoft.com/kb/313661/ )

Mesaj de eroare: "Timp expirat" apare atunci c�nd v� conecta�i la serverul SQL prin TCP/IP �i Kerberos MaxTokenSize este mai mare dec�t 0xFFFF

Deoarece poate avea scenarii de conecta la domeniu cruce �n p�dure de dumneavoastr�, este posibil ca valoarea ar trebui setat� forest-wide pe toate sistemele bazate pe Windows. De aceea, v� recomand�m ca valoarea maxim� pentru valoarea de MaxTokenSize fie 64 K.

Importante Pe clientii SQL Server, este posibil s� primi�i urm�torul mesaj de eroare c�nd apare aceast� problem�:

Nu poate genera SSPI contextul

Pentru a rezolva aceast� problem�, trebuie s� seta�i valoarea de registry MaxTokenSize pentru toate computerele care sunt implicate �n procesul de autentificare Kerberos. Aceasta include clientii SQL Server.

�napoi la �nceput | Trimite?i feedback

Propriet�?i

ID articol: 327825 - Ultima examinare: 20 februarie 2013 - Revizie: 2.0

Se aplic� la:

Microsoft Windows XP Professional
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 Service Pack 2
Windows Vista Business
Windows Vista Enterprise
Windows Vista Ultimate
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Web Server 2008
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Foundation
Windows Server 2008 R2 Standard
Windows 7 Enterprise
Windows 7 Professional
Windows 7 Ultimate
Windows Server 2012 Datacenter
Windows Server 2012 Essentials
Windows Server 2012 Foundation
Windows Server 2012 Standard
Windows 8 Enterprise
Windows 8 Pro
Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Datacenter x64 Edition
Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Enterprise x64 Edition
Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
Microsoft Windows Server 2003 R2 Standard x64 Edition

kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtro

Traducere automat�

IMPORTANT: Acest articol a fost tradus de software-ul de traducere automat� Microsoft, si nu de un traduc�tor. Microsoft v� ofer� at�t articole traduse de persoane, c�t �i articole traduse automat, astfel incat aveti access la toate articolele din Baza noastr� de informatii �n limba dvs. materna. Totu�i, un articol tradus automat nu este �ntotdeauna perfect. Acesta poate con�ine gre�eli de vocabular, sintax� sau gramatic�, la fel cum un vorbitor str�in poate face gre�eli vorbind limba dvs. materna. Compania Microsoft nu este responsabil� pentru nici o inexactitate, eroare sau daun� cauzat� de traducerea necorespunz�toare a con�inutului sau de utilizarea traducerii necorespunz�toare de c�tre clien�ii nostri. De asemenea, Microsoft actualizeaz� frecvent software-ul de traducere automat�.

Face?i clic aici pentru a vizualiza versiunea �n limba englez� a acestui articol: 327825

(http://support.microsoft.com/kb/327825/en-us/ )

�napoi la �nceput | Trimite?i feedback

Trimite?i feedback

�napoi la �nceput

Select the product you need help with

Probleme cu autentificarea Kerberos atunci c�nd un utilizator face parte din mai multe grupuri

�n aceast� pagin�

Simptome

Cauz�

Rezolu�ie

pachet Service Pack informa�ii

Informa�ii despre remedierea rapid�

Stare

Informa�ii suplimentare

Semn dimensiunea calcul Windows 2000 de Windows Server 2008 R2

C�nd s� seta�i intrarea registry

Modific�rile Windows Server 2012

Exemple de probleme atunci c�nd se dep�?e?te dimensiunea bilet

Propriet�?i

Se aplic� la:

Cuvinte cheie:�

Trimite?i feedback

Traduceri articole