Bir kullanıcı birden çok gruba ait olduğunda Kerberos kimlik doğrulaması ile ilgili sorunlar

Makale çevirileri Makale çevirileri
Makale numarası: 327825 - Bu makalenin geçerli olduğu ürünleri görün.
Windows Vista Service Pack 1 (SP1) için destek 12 Temmuz 2011 tarihinde sona ermiştir. Windows için güvenlik güncelleştirmelerini almaya devam etmek için Windows Vista Service Pack 2 (SP2) çalıştırdığınızdan emin olun. Daha fazla bilgi için bu Microsoft Web sayfasına bakın: Bazı Windows sürümleri için destek sona eriyor.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Bir kullanıcı birden çok gruba ait olduğunda, kullanıcı Grup İlkesi ayarlarını veya kimlik doğrulaması ile ilgili sorunlar olabilir. Aşağıdaki Microsoft Bilgi Bankası makalelerinde bu belirtiler daha ayrıntılı açıklanmaktadır:

269643 Internet Explorer Kerberos kimlik doğrulaması için IIS bağlanma yetersiz bir arabellek nedeniyle çalışmıyor
280380 Genişletilmiş saklı yordamlar ile olası arabellek taşması yararlanma
2020943 "HTTP 400 - Bad (çok uzun üstbilgisi isteği) isteği" hata Internet Information Services (IIS)
Bu makalelerde açıklanan geçici çözümü MaxTokenSize kayıt defteri değerini değiştirmek için yönlendirir. Bir gelişme bu çözümlemesini yapıldı. Bu makalede açıklanan düzeltmeyi kullanırsanız, varsayılan MaxTokenSize değerini düzenlemek olmayabilir.

Bu makalede açıklanan düzeltme, bu bölümde listelenen Microsoft Bilgi Bankası makalelerinde açıklanan düzeltmelerin yerini alır.

Neden

Kimlik doğrulama girişimleri sırasında oluşturulan Kerberos belirtecinin bir boyut üst sınırı sabit olduğundan, kullanıcı kimlik doğrulaması yapamaz. Uzaktan yordam çağrısı (RPC) gibi taşıtlar ve HTTP MaxTokenSize değeri temel kimlik doğrulaması için bunlar arabellekleri tahsis ettiğinizde. (Orijinal yayın sürümü) Windows 2000'de, MaxTokenSize değeri 8000 bayttır. Windows 2000 Service Pack 2 (SP2) ve Windows Server 2003'te MaxTokenSize 12.000 bayt değeridir.

Kerberos Kerberos paketin aktarım Active Directory grup üyeliği için ayrıcalık özniteliği sertifika (PAC) alanını kullanır. Windows Server 2012 ile başlayarak, bu da Active Directory talep bilgileri (dinamik erişim denetimi) alan için geçerlidir. Birçok grup üyelikleri kullanıcı için ise ve kullanıcı ya da kullanılmakta olan aygıt için çok sayıda talep varsa, bu alanlarda çok sayıda paketin içinde yer kaplayabilir.

Bir kullanıcı, 120'den fazla grup üyesi ise, MaxTokenSize değer tarafından belirlenir arabellek yeterince büyük değil. Bu nedenle, kullanıcı kimlik doğrulaması yapamaz ve bunlar "bellek yetersiz" hata iletisi alabilirsiniz. Bu makalede açıklanan düzeltmeyi uygulamadan önce her gruba bir kullanıcı hesabı eklendiğinde bu arabellek 40 bayt artırır.

Not Birçok senaryoda Windows NTLM kimlik doğrulaması beklendiği gibi çalışır. Kerberos kimlik doğrulama sorunu analiz olmadan göremeyebilirsiniz. Ancak, Grup İlkesi ayarlarının uygulandığı senaryoları beklendiği gibi çalışmayabilir.

Çözüm

Önemli Bu sorunu gidermek için Kerberos kimlik doğrulama işlemine dahil olan tüm bilgisayarlar için MaxTokenSize kayıt defteri değerini ayarlamanız gerekir. SQL Server istemcileri de buna dahildir.(Diğer bir deyişle, kayıt defteri anahtarı istek/yanıt akışında katılan her bilgisayarda ayarlanması gerekir. Bu nedenle, bir web uygulaması dayandığı SQL Server istemci varsa veya bir arka uç SQL Server veritabanına iletilmek üzere kullanıcı belirteci varsa, SQL Server veritabanı bilgisayarda SQL Server istemci bilgisayarda ayarlanması kayıt defteri anahtarı varsa ve aynı zamanda Internet Explorer çalıştıran istemci bilgisayar, web sunucusunu IIS çalıştıranvb..)

Not Bu soruna yönelik bir düzeltme aşağıdaki Windows sürümlerini içerir:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Hizmet paketi bilgileri

Bu sorunu gidermek için Microsoft Windows 2000 için en son hizmet paketini edinin. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
260910 En son Windows 2000 hizmet paketini edinme

Düzeltme bilgileri

Desteklenen bir düzeltme Microsoft'tan edinilebilir. Ancak bunun yalnızca bu makalede anlatılan sorunu düzeltmesi amaçlanmıştır. Yalnızca bu sorunla karşılaşmış olan sistemlere uygulayın. Bu düzeltme ek sınama uygulanabilir. Bu nedenle, bu sorundan ciddi bir şekilde etkilemiyorsa, bu düzeltmeyi içeren bir sonraki Windows 2000 hizmet paketini beklemenizi öneririz.

Bu sorunu hemen çözümlemek için düzeltmeyi edinmek üzere Microsoft Müşteri Destek Hizmetleri'ne başvurun. Microsoft Müşteri Destek Hizmetleri telefon numaralarının ve destek ücretleriyle ilgili bilgi tam listesi için aşağıdaki Microsoft Web sitesine bakın:
http://support.microsoft.com/contactus/?ws=support
Not Özel durumlarda, Microsoft Destek Uzmanı özel bir güncelleştirmenin sorununuzu belirlerse, normal destek aramaları için normalde uygulanan ücretler iptal edilebilir. Ek destek sorularına ve söz konusu güncelleştirme için geçerli olmayan sorunlara normal destek ücretleri uygulanır.Bu düzeltmenin İngilizce sürümü dosya öznitelikleri (veya daha yeni dosya özniteliklerine) sahip aşağıdaki tabloda listelenir. Tarihleri ve saatleri bu dosyaların Koordinatlı Evrensel Saat'e (UTC) kullanılarak listelenmiştir. Dosya bilgilerini görüntülediğinizde yerel saate dönüştürülür. UTC ve yerel saat arasındaki farkı bulmak için Denetim Masası'ndaki Tarih ve saat öğesinde saat dilimi sekmesini kullanın.

Durum

Microsoft bu sorunun, "Aşağıdakilere uygulanır" bölümünde listelenen Microsoft ürünlerinde bulunduğunu onaylamıştır. Bu sorun ilk olarak Microsoft Windows 2000 Service Pack 4'de giderilmiştir.

Daha fazla bilgi

Simge boyutu hesaplama Windows 2000, Windows Server 2008 R2 için

Bu makalede açıklanan düzeltmeyi kullanmak, çoğu durumda MaxTokenSize kayıt defteri değerini değiştirmeniz gerekmez. Ancak, bu düzeltmeyi uyguladıktan sonra MaxTokenSize kayıt defteri değerini değiştirmeniz gerekir bazı senaryolar vardır. Tüm etki alanı denetleyicileri için bu düzeltmeyi uyguladıktan sonra MaxTokenSize değerini değiştirmeniz gerekip gerekmediğini belirlemek için aşağıdaki formülü kullanın:
TokenSize = 1200 + 40 d + 8s
Bu formül aşağıdaki değerleri kullanır:
  • d: sayısı kullanıcının üyesi olduğu etki alanı yerel gruplarının yanı sıra kullanıcının üyesi olduğu kullanıcı hesabı etki alanı dışındaki Evrensel grupların sayısı artı gruplarının sayısını güvenlik kimliği (SID) geçmişi temsil.
  • s: bir üyesi olan bir kullanıcı güvenlik genel grupların sayısı artı kullanıcının hesap kullanıcının üyesi olduğu bir etki alanındaki evrensel grupları sayısı.
  • 1200: Bilet genel gider tahmini değeri. Bu değer, DNS etki alanı adı uzunluğu, istemci adı ve diğer etkenler gibi etkenlere bağlı olarak değişebilir.
(Örneğin, kullanıcıların bir etki alanı denetleyicisine kimliğini) içinde temsilci kullanılır senaryolarda, simge boyutu çift öneririz.

Ne zaman kayıt defteri girdisini ayarlayın

Bu formülü kullanarak hesaplayın simge boyutu küçüktür 12.000 bayt (varsayılan boyutu) ise, etki alanı istemcileri üzerinde MaxTokenSize kayıt defteri değerini değiştirmeniz gerekmez. Değer 12.000 bayttan fazla ise, MaxTokenSize kayıt defteri değerini ayarlamak nasıl bir açıklaması için aşağıdaki Microsoft Bilgi Bankası makalesine bakın:

263693 Birden çok gruba ait kullanıcılar için Grup İlkesi uygulanmayabilir

Notlar
  • MaxTokenSize değeri değiştirirseniz, değişikliğin etkili olması için bilgisayarı yeniden başlatmanız gerekir.
Önerilen MaxTokenSize kayıt defteri girdisi 65535 ondalık veya onaltılık FFFF değeridir. MaxTokenSize değeri sabit bir Kerberos anahtarı alıp hesabının üyesi olduğu grupları temsil eden SID'lerini içeren arabelleği belirtir.

Karşılaşabileceğiniz bilinen sorunlar

Erişim belirteci boyutu için bilinen sorunlar:

Yerel güvenlik yetkilisi (LSA) hizmeti, bu SID arabelleğinden kullanıcı erişim belirteci oluşturur. Kodlanmış sınırı müşteri bu simge tanımlanabilir SID 1,015, bu bb makalesine bakın:
328889 Birden fazla 1,015 gruplarının üyeleri olan kullanıcılar oturum açma kimlik doğrulaması başarısız olabilir
http://support.microsoft.com/kb/328889/en-us

Bu nedenle, bir MaxTokenSize değeri birden fazla 1015 etkili SID için kullanışlı değildir. Aşağıdaki formülde:
MaxTokenSize = 1200 + 40 d + 8s
40d 40 bayt etki alanı yerel grubu için bir SID sahip olduğunuz anlamına gelir. 8s etki alanı genel/Evrensel grubun SID için 8 bayt anlamına gelir.

Bu nedenle, 0x0000FFFF (64 K) MaxTokenSize değeri varsa, yaklaşık 1600 etki alanı yerel Grup SID'lerini veya yaklaşık 8000 etki alanı genel/Evrensel Grup SID'lerini arabellek mümkün olabilir. "Temsilci atama için güvenilir" hesap kullanırsanız, her SID için arabellek gereksinimi iki katına. 64 K MaxTokenSize değeri kullanıldığında, bu senaryolarda, yalnızca yaklaşık 800 etki alanı yerel Grup SID'lerini saklayabilirsiniz. Ancak, yalnızca etki alanı yerel Grup SID'lerini sahip tipik bir senaryo değildir. 64K değerini bile temsilci atama senaryoları için yeterli olmalıdır.

Alış arabelleği Internet bilgi sunucusu HTTP için bilinen sorunlar:

Internet Information Server (IIS) daha az istek arabelleği boyutu 64 KB'ın saldırı vektörü hizmet reddi etkisini azaltmak için kullanır. Ancak, Kerberos bileti HTTP isteğinden Base64 kodlanmış (altı bitlik genişletilmiş için sekiz bit). Ayrıca, Kerberos bileti özgün boyutunun yüzde 133 kullanıyor. Bu nedenle, Kerberos bileti 48 KB maksimum arabellek boyutu 64 KB'ııs olduğunda kullanılabilir.

MaxTokenSize kayıt defteri girdisini 48000 büyük bir değere ayarlayın ve arabellek alanı için SID'ler kullanılır, IIS hata ortaya çıkabilir. Ancak, 48000 için MaxTokenSize kayıt defteri girdisini ayarlayın, Kerberos hatası oluşabilir.

IIS arabellek boyutları hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
310156 IIS Windows 2000'de bir istemciden kabul HTTP aktarım üstbilgisi boyutunu sınırlamak nasıl

920862 Outlook Web Access kullanıcısının Exchange Server 2003'te bir posta kutusuna erişmeye çalıştığında hata iletisi: "HTTP 400 Hatalı istek (istek başlığı çok uzun)"

Windows Server 2012 değişiklikleri

Windows Server 2012 düşünceleri hakkında bu arabelleği için aşağıdaki değişiklikleri kullanıma sunmuştur:
  • MaxTokenSize için varsayılan 48.000 bayt olarak değiştirir.
  • PAC. SID'lerin sıkıştırılması için yeni bir düzen var.
  • Dinamik erişim denetimi, Active Directory taleplerine anahtar ekler. Bu nedenle, beklenen anahtar boyutu hesaplanıyor artık açıktır. Windows Server 2012 etki alanı denetleyicileri tarafından verilen bir bilet daha küçük, daha eski işletim sistemi sürümlerinden verilen aynı biletleri beklenir. Talepleri bilet boyutunu artırır. Ancak, dosya sunucuları Windows Server 2012 talepleri geniş çapta kullanmaya başladıktan sonra çok sayıda bilet boyutlarını küçülterek için dosya erişimi denetleyen gruplarınızı aşama bekleyebilirsiniz.

Windows Server 2012 değişiklikler hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesine gidin:
http://technet.microsoft.com/en-us/library/hh831717.aspx

Anahtar boyutu aşıldığında sorunları örnekleri

Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
277741 Internet Explorer oturum açma yetersiz bir arabellek için Kerberos başarısız olur.
313661 Hata iletisi: "Zaman aşımı doldu" TCP/IP üzerinden SQL Server'a bağlanmak ve Kerberos MaxTokenSize 0xFFFF büyükse oluşur

Değer, ormandaki etki alanları arası oturum açma senaryoları olabileceğinden, orman genelinde tüm Windows tabanlı sistemlerde ayarlanmalıdır. Bu nedenle, en büyük değer MaxTokenSize değeri için 64 K olması önerilir.

Önemli Bu sorun oluştuğunda, SQL Server istemcileri üzerinde aşağıdaki hata iletisini alabilirsiniz:
SSPI içeriği üretilemiyor.
Bu sorunu gidermek için Kerberos kimlik doğrulama işlemine dahil olan tüm bilgisayarlar için MaxTokenSize kayıt defteri değerini ayarlamanız gerekir. SQL Server istemcileri de buna dahildir.

Özellikler

Makale numarası: 327825 - Last Review: 10 Ekim 2013 Perşembe - Gözden geçirme: 3.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
Anahtar Kelimeler: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 327825

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com