Makale numarası: 327825 - Son Gözden Geçirme: 19 Mayıs 2010 Çarşamba - Gözden geçirme: 13.0

Kullanıcılar çok gruba ait olduğunda Kerberos kimlik doğrulaması ile ilgili sorunlar için yeni çözümleme

İngilizce ve Türkçe'yi yan yana görüntülemeBuraya tıklayarak İngilizce ve Türkçe'yi yan yana görüntüleyebilirsiniz.
Otomatik TercümeOtomatik tercüme makalelerin ne olduğunu açıklayan yazıyı okumak için buraya tıklayın
Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Bu Sayfada

Hepsini aç | Hepsini kapa

Belirtiler

Kullanıcı çok sayıda gruplarına ait olduğu zaman, bu kullanıcı veya grup ilkesi ayarları ile kimlik doğrulaması sorunlarla karşılaşabilirsiniz. Aşağıdaki Microsoft Bilgi Bankası makalelerinde bu belirtilerle ayrıntılı açıklar:

269643  (http://support.microsoft.com/kb/269643/ ) ııS'E bağlanma yetersiz bir arabellek nedeniyle ınternet Explorer Kerberos kimlik doğrulaması çalışmıyor
280380  (http://support.microsoft.com/kb/280380/ ) Genişletilmiş saklı yordamlarda olası arabellek taşması yararlanma
Bu makalelerde açıklanan varolan çözünürlüğü MaxTokenSize kayıt defteri değerini değiştirmenize olanak sağlar. Bu çözüm, bir gelişme yapıldı. Bu makalede anlatılan düzeltmeyi kullanırsanız, varsayılan MaxTokenSize değerini düzenlemek olmayabilir.

Bu makalede açıklanan düzeltme, bu bölümünde listelenen Microsoft Bilgi Bankası makalelerinde açıklanan düzeltmelerin yerini alır.
Üste

Neden

Kerberos, simge için kimlik doğrulaması için kullanıcı değil kimlik doğrulama işlemi sırasında oluşturulan denemelerinin en büyük boyutu vardır. Taşımalar gibi uzak yordam çağrısı (RPC) ve HTTP kimlik doğrulaması için bunlar arabellekleri tahsis ettiğinizde MaxTokenSize değerini kullanır. Windows 2000 (özgün olarak yayımlanan sürümünde)'de, MaxTokenSize değer 8000 bayttır. Windows 2000 Service Pack 2 (SP2) ve Microsoft Windows Server 2003, MaxTokenSize 12.000 bayt değeridir.

Bir kullanıcı birden fazla 120 grubunun bir üyesi ise, MaxTokenSize değeriyle belirlenir arabellek yeterince büyük değil. Sonuç olarak, kullanıcıların kimlik doğrulaması yapamaz ve bunlar "yetersiz bellek" hata iletisi alabilirsiniz. Bu makalede anlatılan düzeltmeyi uygulamadan önce her grup için bir kullanıcı hesabı eklenir, bu arabellek 40 bit olarak artırır.

Not: pek çok senaryoyu beklendiği gibi; Windows NTLM kimlik doğrulama çalışıyor, Kerberos kimlik doğrulaması sorunu çözümlemesi olmadan göremeyebilirsiniz. Ancak, Grup ilkesi ayarlarının uygulandığı senaryolarda beklendiği gibi çalışmayabilir.
Üste

Çözüm

Not Bu soruna yönelik düzeltme, Windows Server 2003, Windows Vista, Windows Server 2008 ve Windows XP Professional içerir.
Üste

Hizmet paketi bilgileri

Bu sorunu gidermek için, en son Microsoft Windows 2000 hizmet paketini edinin. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
260910  (http://support.microsoft.com/kb/260910/ ) En son Windows 2000 hizmet paketi nasıl elde edilir
Üste

Düzeltme bilgileri

Desteklenen bir düzeltme Microsoft'tan edinilebilir. Ancak, düzeltmenin yalnızca bu makalede anlatılan sorunu gidermesi amaçlanmıştır. Düzeltmeyi yalnızca bu sorunla karşılaşmış olan sistemlere uygulayın. Bu düzeltmeye ek sınama uygulanabilir. Bu nedenle, sorundan ciddi olarak etkilenmiyorsanız, bu düzeltmeyi içeren bir sonraki Windows 2000 hizmet paketini beklemeniz önerilir.

Bu sorunu hemen çözmek için, düzeltmeyi edinmek üzere Microsoft Müşteri Destek Hizmetleri'ne başvurun. Microsoft Müşteri Destek Hizmetleri'nin telefon numaralarının tam listesi ve destek ücretleriyle ilgili bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)
Not Özel durumlarda, Microsoft Destek Uzmanı özel bir güncelleştirmenin sorununuzu çözümleyeceğini belirlerse, destek aramaları için normalde uygulanan ücretler iptal edilebilir. Ek destek sorularına ve söz konusu güncelleştirme için geçerli olmayan sorunlara normal destek ücretleri uygulanır.Bu düzeltmenin İngilizce sürümü, aşağıdaki tabloda listelenen dosya özniteliklerine (veya daha yeni dosya özniteliklerine) sahiptir. Bu dosyaların tarihleri ve saatleri Koordinatlı Evrensel Saat'e (UTC) göre listelenir. Dosya bilgilerini görüntülediğinizde yerel saate dönüştürülür. UTC ve yerel saat arasındaki farkı bulmak için <a0></a0>, Denetim Masası'ndaki Tarih ve saat öğesinde saat dilimi sekmesini kullanın.
   Date         Time    Version         Size      File name
    -------------------------------------------------------- 
   26-Sep-2002  11:39   5.0.2195.6069   124,176   Adsldp.dll 
   26-Sep-2002  11:39   5.0.2195.5781   131,344   Adsldpc.dll 
   26-Sep-2002  11:39   5.0.2195.5781    62,736   Adsmsext.dll 
   26-Sep-2002  11:39   5.0.2195.6052   358,160   Advapi32.dll 
   26-Sep-2002  11:39   5.0.2195.6058    49,424   Browser.dll 
   26-Sep-2002  11:39   5.0.2195.6012   135,952   Dnsapi.dll 
   26-Sep-2002  11:39   5.0.2195.6012    96,016   Dnsrslvr.dll 
   26-Sep-2002  11:39   5.0.2195.5722    45,328   Eventlog.dll 
   26-Sep-2002  11:39   5.0.2195.6059   146,704   Kdcsvc.dll 
   05-Sep-2002  14:18   5.0.2195.6048   200,976   Kerberos.dll 
   21-Aug-2002  05:27   5.0.2195.6023    71,248   Ksecdd.sys 
   25-Sep-2002  15:01   5.0.2195.6072   507,664   Lsasrv.dll 
   25-Sep-2002  15:01   5.0.2195.6072    33,552   Lsass.exe 
   27-Aug-2002  11:53   5.0.2195.6034   108,816   Msv1_0.dll 
   26-Sep-2002  11:39   5.0.2195.5979   307,472   Netapi32.dll 
   26-Sep-2002  11:39   5.0.2195.5966   360,720   Netlogon.dll 
   26-Sep-2002  11:39   5.0.2195.6048   918,800   Ntdsa.dll 
   26-Sep-2002  11:39   5.0.2195.6025   389,392   Samsrv.dll 
   26-Sep-2002  11:39   5.0.2195.5951   129,296   Scecli.dll 
   26-Sep-2002  11:39   5.0.2195.5951   302,864   Scesrv.dll 
   26-Sep-2002  11:39   5.0.2195.5859    48,912   W32time.dll 
   04-Jun-2002  10:32   5.0.2195.5859    57,104   W32tm.exe 
   26-Sep-2002  11:39   5.0.2195.6052   126,224   Wldap32.dll
Üste

Durum

Microsoft, "Geçerli Olduğu Ürünler" bölümünde listelenen Microsoft ürünlerinde bu sorunun olduğunu onaylamıştır. Bu sorun ilk olarak Microsoft Windows 2000 Service Pack 4'te giderilmiştir.
Üste

Daha fazla bilgi

Daha önce kullanıcıların bu sorunla karşılaşmış, işlemleri devam etmek için Kerberos MaxTokenSize değerini ayarlamak sahipti. Bu sorunu gidermek için <a0></a0>, tüm etki alanı iş istasyonlarında, bu değeri güncelleştir sahipti.

Bu makalede anlatılan düzeltmeyi kullanırsanız, MaxTokenSize kayıt defteri değeri genellikle değiştirmek gerekmez. Ancak, bazı senaryolarda, bu düzeltmeyi uyguladıktan sonra da <a0>MaxTokenSize</a0> kayıt defteri değerini değiştirmek kullandığınız vardır. Tüm etki alanı denetleyicilerinin bu düzeltmeyi uyguladıktan sonra MaxTokenSize değerini değiştirmek olup olmadığını anlamak için aşağıdaki formülü kullanın:
TokenSize 1200 + 40 d + 8s =
Bu formül aşağıdaki değerleri kullanır:
  • d: güvenlik KIMLIĞI (SID) geçmişi temsil, sayısı, bir kullanıcının üyesi olduğu etki alanı yerel grupları ve Evrensel gruplar kullanıcı hesabının etki alanı dışındaki sayısı artı grup sayısı.
  • : %s sayısı, bir kullanıcının üyesi olduğu güvenlik genel grupları ve kullanıcı hesabının etki alanındaki evrensel grup sayısı.
  • 1200: Bilet yükü tahmini değeri. Bu değer, DNS etki alanı adı uzunluğu, istemci adına ve diğer etkenlere gibi etkenlere bağlı olarak değişebilir.
Senaryolarda (örneğin, kullanıcıların bir etki alanı denetleyicisine kimliğini) içinde temsilcilik kullanılır, simge boyutu çift Microsoft önerir.

Bu formül kullanarak hesaplamak simge boyutu 12.000 bayttan (varsayılan boyutu) ise, etki alanı istemcilerine MaxTokenSize kayıt defteri değerini değiştirmek gerekmez. Birden fazla 12.000 bayt değeri ise MaxTokenSize kayıt defteri değerini ayarlama yönteminin açıklaması için aşağıdaki Microsoft Knowledge Base makalesine bakın:

263693  (http://support.microsoft.com/kb/263693/ ) Pek çok gruba ait olan kullanıcılar için Grup ilkesi uygulanmayabilir
Windows 2000 Datacenter Server için bir düzeltme edinme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
265173  (http://support.microsoft.com/kb/265173/ ) Datacenter programı ve Windows 2000 Datacenter Server ürünü
Notları
  • MaxTokenSize değiştirdiğinizde, değişikliğin etkili için bilgisayarı yeniden başlatmanız gerekir.
  • Önerilen en çok 65535 ondalık veya onaltılık FFFF değerdir. Sabit bir Kerberos bileti almak, hesabın üyesi olduğu grupları temsil eden bir Sıd içeren arabellek MaxTokenSize değerini belirtir. Daha sonra yerel güvenlik yetkilisi (LSA) hizmeti, bu SID arabelleğinden belirteci oluşturur. Kodlanmış sınırı müşteri bu belirteci tanımlanabilir Sıd 1,015 olur. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    328889  (http://support.microsoft.com/kb/328889/ ) Birden fazla 1,015 gruplarının üyeleri olan kullanıcılar, oturum açma kimlik doğrulaması başarısız olabilir
Bu nedenle, MaxTokenSize değeri birden fazla 1015 etkin Sıd için kullanışlı değildir. Aşağıdaki formülde:
MaxTokenSize 1200 + 40 d + 8s =
40 d bir etki alanı yerel Grup SıD'SI için 40 bayt olması gerektiğini anlamına gelir. 8s 8 bayt, etki alanı genel/evrensel grup SıD'INI gösterir. Bu nedenle, bir <a1>ııswebdirectory</a1> (64 K) 0x0000FFFF MaxTokenSize değeri varsa, yaklaşık 1600 etki alanı yerel Grup Sıd'lerini veya yaklaşık 8000 etki alanı genel/evrensel grup Sıd'lerini arabellek mümkün olabilir. "Temsilci seçme için güvenilir" hesapları kullanıyorsanız, her SID için arabellek gereksinim çift. 64 K MaxTokenSize değeri kullanıldığında bu senaryolarda, yalnızca yaklaşık 800 etki alanı yerel Grup Sıd'lerini saklayabilirsiniz. Ancak, yalnızca etki alanı yerel Grup Sıd'lerini sahip gerçekçi bir senaryo değildir. 64 K değerini, temsilci atama senaryoları için bile yeterli olmalıdır. Ayrıca, arabellek simge boyutu 64 K'dan fazla varsa, uygulamaları sorun yaşayabilirsiniz.

Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
277741  (http://support.microsoft.com/kb/277741/ ) Internet Explorer oturum açma için Kerberos yetersiz bir arabellek nedeniyle başarısız.
313661  (http://support.microsoft.com/kb/313661/ ) Hata iletisi: "Zaman aşımı doldu" TCP/IP üzerinden SQL Server'a bağlanın ve Kerberos MaxTokenSize 0xFFFF büyük olduğunda ortaya çıkar

Değer, bir ormandaki etki alanları arası oturum açma senaryolarda olabilir, çünkü tüm Windows tabanlı sistemlerde ormana yayılmış ayarlanmalıdır. Bu nedenle, en büyük değer MaxTokenSize değeri 64 K olmasını öneririz.

Bu sorun oluştuğunda, SQL Server istemcilerine, aşağıdaki hata iletisini alabilirsiniz:
SSPI içeriği üretilemiyor
Bu sorunu gidermek için <a0></a0>, tüm SQL Server istemcileri dahil Kerberos kimlik doğrulama işlemi katılan bilgisayarların MaxTokenSize kayıt defteri değerini ayarlamanız gerekir.
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Professional SP1
  • Microsoft Windows 2000 Professional SP2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Üste
Anahtar Kelimeler: 
kbmt kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix KB327825 KbMttr
Üste
Otomatik TercümeOtomatik Tercüme
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:327825  (http://support.microsoft.com/kb/327825/en-us/ )
Üste