Problémy s overovanie Kerberos keď používateľ patrí do mnohých skupín

Preklady článku Preklady článku
ID článku: 327825 - Zobraziť produkty, ktorých sa tento článok týka.
Podpora pre Windows Vista Service Pack 1 (SP1) končí júl 12, 2011. Ak chcete naďalej prijímať aktualizácie zabezpečenia pre Windows, uistite sa, že používate systém Windows Vista s balíkom Service Pack 2 (SP2). Pre viac informácií, odkazujú na túto webovú stránku Microsoft: Končí sa podpora pre niektoré verzie systému Windows.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

Príznaky

Keď používateľ patrí do mnohých skupín, používateľ môže mať problémy s overením alebo nastavenia skupinovej politiky. Nasledovné články databázy Microsoft Knowledge Base popisujú tieto príznaky podrobnejšie:

269643 Overovanie Internet Explorer Kerberos nefunguje kvôli nedostatočnej medzipamäte pripojenie k službe IIS
280380 Medzipamäť pretečeniu využívať možné pomocou rozšíreného uložené procedúry
2020943 "HTTP 400 - Bad žiadosť (žiadosť hlavičky príliš dlho)" chyba v Internet Information Services (IIS)
Uznesenie, ktoré je opísané v týchto článkoch pokyn zmeniť hodnotu databázy registry MaxTokenSize. K zlepšeniu došlo k tomuto uzneseniu. Ak chcete použiť rýchlu opravu, ktorá je popísaná v tomto článku, môže nemáte Upravte predvolenú hodnotu MaxTokenSize.

Rýchla oprava, ktorá je popísaná v tomto článku nahrádza rýchle opravy, ktoré sú opísané v článkoch databázy Microsoft Knowledge Base, ktoré sú uvedené v tejto časti.

Príčina

Používateľ nemôže overiť pretože Kerberos token, ktorý vzniká počas pokusov o autentifikáciu má pevnú maximálnu veľkosť. Transporty ako vzdialené volanie procedúr (RPC) a HTTP spoliehať na hodnotu MaxTokenSize, keď oni pridelenie medzipamäte pre overovanie. V systéme Windows 2000 (pôvodná verzia), MaxTokenSize hodnota je 8 000 bytov. V systéme Windows 2000 Service Pack 2 (SP2) a Windows Server 2003, MaxTokenSize hodnota je 12 000 bytov.

Protokol Kerberos používa výsadu atribút certifikát (PAC) oblasti Kerberos paket dopravy členstvo skupina služby Active Directory. Počnúc Windows Server 2012, to platí aj pre oblasti Active Directory nároky informácie (dynamické riadenie prístupu). Ak existuje veľa členstvo v skupine pre používateľa, a ak existuje mnoho tvrdení pre používateľa alebo zariadenie, ktoré používa, tieto polia môžu zaberať veľa miesta v pakete.

Ak je používateľ členom viac ako 120 delegácií, medzipamäť, ktorá je určená hodnota MaxTokenSize nie je dostatočne veľké. Preto používateľov nemôže overiť, a oni môžu "out of memory" chybové hlásenie. Skôr, než použijete rýchlu opravu, ktorá je popísaná v tomto článku, každá skupina, ktorá sa pridáva k používateľskému kontu zvyšuje Tento pufor 40 bytov.

Poznámka: V mnohých prípadoch overovanie Windows NTLM funguje podľa očakávania. Nemusíte vidieť problém overovania Kerberos bez analýzy. Scenáre v ktorom nastavenie skupinovej politiky aplikované však nemusí fungovať podľa očakávania.

Riešenie

Dôležité: Ak chcete vyriešiť tento problém, musíte nastaviť hodnotu databázy registry MaxTokenSize pre všetky počítače, ktoré sú zapojené do procesu overovania Kerberos. To zahŕňa klientov SQL servera.(T. j. kľúč databázy registry má možno nastaviť na každom počítači, ktorý je zapojený do toku dotaz/odpoveď. Preto ak je SQL Server klient o ktoré opiera webovej aplikácie, alebo ak token používateľa musia byť prenesené na backend databázu servera SQL Server, kľúč databázy registry má stanoviť na klientskom počítači servera SQL Server, SQL Server databázu počítač, a tiež klientsky počítač so spustenou službou Internet Explorer, webový server beží, beží IISa tak ďalej.)

Poznámka: V nasledujúcich verziách systému Windows zahrnúť opravu tohto problému:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Systém Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Informácie o balíku Service pack

Ak chcete vyriešiť tento problém, získať najnovšie balík service pack pre systém Microsoft Windows 2000. Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
260910 Ako získať najnovší balík Windows 2000 service pack

Informácie o rýchlej oprave

Podporovaná rýchla oprava je teraz k dispozícii od spoločnosti Microsoft. Je však určená opraviť len problém, ktorý je popísaný v tomto článku. Vzťahujú len na systémy, ktoré sú zažíva tento špecifický problém. Táto oprava môže obdržať ďalšie testovanie. Preto, ak ste nie sú vážne ovplyvnené tento problém, odporúčame vám počkať na ďalší Windows 2000 service pack, ktorá obsahuje túto rýchlu opravu.

Ak chcete odstrániť tento problém okamžite, obráťte sa na služby podpory zákazníkov spoločnosti Microsoft získať rýchlu opravu. Úplný zoznam telefónnych čísiel služby podpory zákazníkov spoločnosti Microsoft a informácie o náklady na technickú podporu, prejdite na webovej lokalite spoločnosti Microsoft:
http://support.Microsoft.com/contactus/?ws=support
Poznámka: V osobitných prípadoch, nemusia účtovať poplatky, ktoré sú telefonickú podporu hovory ak Microsoft podporu Professional určuje, že konkrétna aktualizácia vyrieši váš problém. Obvyklé podporu náklady budú vzťahovať na dodatočnú podporu otázky a otázky, ktoré nespĺňajú kritériá pre konkrétnu aktualizáciu predmetné.Anglická verzia tejto rýchlej opravy má atribúty súborov (alebo novšie atribúty) uvedené v nasledujúcej tabuľke. Dátumy a časy jednotlivých súborov sú uvedené v univerzálnom svetovom čase (UTC). Keď zobrazíte informácie o súbore, čas sa prevedie na miestny čas. Ak chcete zistiť rozdiely medzi časom UTC a miestnym časom, použite kartu Časové pásmo v položke Dátum a čas v ovládacom paneli.

Stav

Spoločnosť Microsoft potvrdila, že ide o problém v produktoch spoločnosti Microsoft, ktoré sú uvedené v časti „Vzťahuje sa na“. Tento problém bol prvýkrát vyriešený v systéme Microsoft Windows 2000 Service Pack 4.

Ďalšie informácie

Token veľkosť výpočet Windows 2000 na systém Windows Server 2008 R2

Ak chcete použiť rýchlu opravu, ktorá je popísaná v tomto článku, nie musíte zmeniť hodnota databázy registry MaxTokenSize vo väčšine prípadov. Avšak, existuje niekoľko scenárov, v ktorých budete musieť upraviť hodnotu MaxTokenSize databázy registry po inštalácii tejto rýchlej opravy. Po inštalácii tejto rýchlej opravy na všetky radiče domény, určiť, či budete musieť upraviť hodnotu MaxTokenSize pomocou nasledovného vzorca:
TokenSize = 1200 + 40 d + 8s
Tento vzorec používa tieto hodnoty:
  • d: počet lokálnych skupín domén používateľ je členom plus počet univerzálnych skupín mimo domény používateľského konta, ktoré používateľ je členom plus počet skupín zastúpené v bezpečnostný identifikátor (SID) histórie.
  • s: počet bezpečnosti globálne skupiny, ktoré používateľ je členom plus počet univerzálnych skupín domény používateľského konta, ktoré používateľ je členom.
  • 1200: predpokladaná hodnota za letenku réžiu. Táto hodnota sa môže líšiť, v závislosti od faktorov ako napríklad dĺžka názvu domény DNS, meno klienta a iné faktory.
V prípadoch, v ktorých delegácie sa používa (napríklad, keď používatelia overia radiča domény), odporúčame aby ste zdvojnásobiť veľkosť tokenu.

Ak chcete nastaviť položky databázy registry

Ak veľkosť tokenu, ktorý sa vypočíta pomocou tohto vzorca je necelých 12 000 bajtov (predvolená veľkosť), nemáte zmeniť hodnotu databázy registry MaxTokenSize na klientov domény. Ak je hodnota viac ako 12.000 bajtov, pozri nasledujúci článok Microsoft Knowledge Base Popis ako nastaviť hodnotu databázy registry MaxTokenSize:

263693 Skupinová politika sa neuplatnia na používateľov patriacich k mnohých skupín

Poznámky
  • Ak zmeníte hodnotu MaxTokenSize, po reštartovaní počítača tak, že zmena je účinná.
Odporúčaná hodnota pre položku databázy registry MaxTokenSize je 65535 desiatkovom alebo šestnástkovom FFFF. Hodnota MaxTokenSize určuje pevnou lístku protokolu Kerberos prijímať medzipamäť, ktorá obsahuje SIDs, ktoré zastupujú skupiny v ktorej je konto členom.

Použiť bezpečné veľkosť, môžete nastaviť MaxTokenSize 48000, po diskusii o obmedzenie zavedené HTTP header Veľkosť neskôr v tomto článku. Podľa toho, akú hodnotu ste používate, najprv narazíte na problém s protokolom Kerberos chybové udalosti alebo IIS HTTP 400 chyby.

Známe problémy, ktoré sa môžu vyskytnúť

Známe problémy pre prístupový Token veľkosť:

Služby miestneho úradu zabezpečenia (LSA) generuje používateľ prístupový Token z Tento pufor SID. Hranicu naprogramovaného zákazníckej definovateľné SIDs Tento token je 1,015, pozrite tento článok databázy KB:
328889 užívateľov, ktorí sú členmi skupín, viac ako 1 015 môže zlyhať overenie prihlásenia
http://support.Microsoft.com/kb/328889/en-US

Preto MaxTokenSize hodnotu viac než 1015 efektívne SIDs nie je užitočné. V nasledujúci vzorec:
MaxTokenSize = 1200 + 40 d + 8s
40d znamená, že máte 40 bytov pre miestne skupiny SID domény. 8s znamená 8 bajtov pre SID domény Global/Universal Group.

Preto, ak máte MaxTokenSize hodnotu 0x0000FFFF (64 kB), je možné do medzipamäte približne 1600 domény lokálnej skupiny SIDs alebo približne 8000 domény Global/Universal Group SIDs. Ak použijete "dôveryhodný pre delegovanie" kontá, môže byť zdvojnásobený medzipamäte požiadavky každého SID. V týchto scenároch, môžete uložiť len približne 800 domény lokálnej skupiny SIDs pri MaxTokenSize hodnoty 64 kB. Však majú iba domény lokálnej skupiny SIDs nie je typický scenár. Hodnoty 64 kB by mala postačovať aj pre delegácie scenáre.

Známe problémypri použití hodnoty väčšie než 65535 MaxTokenSize

Predchádzajúce verzie tohto článku popísané hodnoty až 100000 bytov na MaxTokenSize. Zistili sme, že verzie správcu SMS majú problémy pri MaxTokenSize je 100000 alebo väčšie. Sme tiež zistili, že protokol IPSEC IKE neumožňuje zabezpečenia BLOB väčšia než 66536 bytov, a to by tiež zlyhať, ak MaxTokenSize je nastavená na hodnotu väčšiu.

Medzipamäť pre príjem známych problémov Internet informácie Server HTTP

Internet Information Server (IIS) používa veľkosť vyrovnávacej pamäte znižuje požiadavky na zmiernenie denial of service útoku vektor 64 kB. Avšak lístku protokolu Kerberos v HTTP požiadavky kódovaním Base64 (šesť bitov rozšíril na osem bitov). Navyše a lístku protokolu Kerberos používa 133 percent svojej pôvodnej veľkosti. Preto, keď maximálna veľkosť medzipamäte je 64 KB v IIS, 48 KB Kerberos letenky možno použiť.

Ak nastavíte položku databázy registry MaxTokenSize na hodnotu, ktorá je väčšia než 48000 medzipamäť slúži na SIDs, môže nastať chyba IIS. Avšak, ak nastavíte položku databázy registry MaxTokenSize 48000, Kerberos chyba sa môže vyskytnúť.

Ďalšie informácie o veľkosti medzipamäte IIS, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
310156 Ako obmedziť veľkosť hlavičky HTTP prenosu, ktorý IIS prijíma od klienta v systéme Windows 2000

920862 Chybové hlásenie, keď používateľ programu Outlook Web Access sa snaží získať prístup k schránke Exchange Server 2003: "HTTP 400 zlé žiadosť (žiadosť hlavičky príliš dlho)"

Windows Server 2012 zmeny

Windows Server 2012 zaviedla tieto zmeny do úvahy o tomto bufferu:
  • Predvolená hodnota pre MaxTokenSize zmeny 48.000 bajtov.
  • Tam je nový program pre kompresiu sids v práškového aktívneho uhlia.
  • Dynamické riadenie prístupu pridá Active Directory tvrdí, letenky. Preto výpočet veľkosti očakávaný lístok už nie je jednoduché. Očakáva sa, že vstupenky sú vydávané radiče domén systému Windows Server 2012 sú menšie než rovnaké lístky, ktoré boli vydané od staršie verzie operačného systému. Nároky pridať na lístok veľkosť. Však po Windows Server 2012 súborové servery používajú pohľadávky všeobecne, môžete očakávať, že postupným značný počet skupín kontrolujúcim prístup k súborom výbava letenku veľkostí.

Ďalšie informácie o zmenách Windows Server 2012, nájdete na nasledujúcej webovej lokalite Microsoft TechNet:
http://technet.Microsoft.com/en-us/library/hh831717.aspx

Príklady problémov, keď je prekročená veľkosť letenky

Ďalšie informácie získate po kliknutí na nasledujúce čísla článkov publikovaných v databáze Microsoft Knowledge Base:
277741 Internet Explorer prihlásení zlyhá v dôsledku nedostatočnej medzipamäte pre Kerberos
313661 Chybové hlásenie: "Uplynul časový limit" nastáva, keď pripojíte na server SQL Server cez protokol TCP/IP a protokol Kerberos MaxTokenSize je väčšia než 0xFFFF

Pretože môžete mať kríž-doména prihlasovacie scenáre v doménovej štruktúre, hodnota stanoviť celej doménovej štruktúre na všetkých Windows-založené systémy. Preto odporúčame maximálnu hodnotu pre MaxTokenSize hodnoty 64 kB.

Dôležité: Na klientov servera SQL Server, môže zobrazí nasledovné chybové hlásenie keď sa vyskytne tento problém:
Nemôžu vytvárať rozhrania SSPI
Ak chcete vyriešiť tento problém, musíte nastaviť hodnotu databázy registry MaxTokenSize pre všetky počítače, ktoré sú zapojené do procesu overovania Kerberos. To zahŕňa klientov SQL servera.

Vlastnosti

ID článku: 327825 - Posledná kontrola: 13. júna 2014 - Revízia: 4.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Kľúčové slová: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 327825

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com