Проблеми з автентифікацією Kerberos, коли користувач належить до багатьох груп

Переклади статей Переклади статей
Номер статті: 327825 - Показ продуктів, яких стосується ця стаття.
Підтримка Windows Vista з пакетом оновлень 1 (SP1) закінчується 12 липня 2011 р. Щоб продовжити отримання оновлень безпеки для Windows, переконайтеся, що комп’ютер-зразок працює під керуванням Windows Vista з пакетом оновлень 2 (SP2). Для отримання додаткових відомостей зверніться до веб-сторінка Microsoft: Завершується підтримка деяких версій Windows.
Розгорнути все | Згорнути все

На цій сторінці

Ознаки

Коли користувач належить до багатьох груп, цей користувач можуть виникнути проблеми з автентифікацією або настройки групової політики. Наступні статті бази знань Майкрософт описати ці симптоми більш докладно:

269643 Автентифікацію Internet Explorer Kerberos не працює через недостатній буфер підключення до служб IIS
280380 переповнення буфера експлуатувати можливо з розширені збережена процедура
2020943 "HTTP 400 - помилковий запит (запит заголовку надто довге)" помилка інформаційних служб Інтернету (IIS)
Резолюції, яка описана в цих статтях вказує вам змінити параметр реєстру MaxTokenSize. Поліпшення здійснено цю резолюцію. Якщо ви використовуєте виправлення, описане в цій статті, може не потрібно змінити значення за промовчанням MaxTokenSize.

Виправлення, описане в цій статті замінює поточні виправлення, які описані в статті база знань Microsoft, які перераховані в цьому розділі.

причина

Користувач не може автентифікувати тому, що маркер Kerberos, які виникають під Вільний час спроб автентифікації має фіксований максимальний розмір. Транспортних протоколів, таких як віддалений виклик процедур (RPC) і HTTP покладатися на MaxTokenSize значення, коли вони виділяють буферів для автентифікації. У Windows 2000 (остаточній версії) значення MaxTokenSize становить 8000 байтів. У Windows 2000 з пакетом оновлень 2 (SP2) і Windows Server 2003 значення MaxTokenSize було 12 000 байт.

Kerberos використовує привілей атрибут сертифікат (PAC) області Kerberos пакет для транспортування членства в групі служба Active Directory. Починаючи з Windows Server 2012, це стосується поля служба Active Directory претензій інформації (динамічний контроль доступу). За наявності багатьох членство в групах для користувача, і якщо є багато претензій для користувача або пристрій, що використовується, ці поля може займати багато місця в пакеті.

Якщо користувач є членом більш ніж 120 груп, буфер, який визначає значення MaxTokenSize не є достатньо великим. Таким чином, користувачі не може автентифікувати, і вони можуть з'явитися протокол IMAP про помилку "Бракує пам'яті". Перш ніж застосувати виправлення, описане в цій статті, кожна Група, яка додається до облікового запису користувача збільшує цей буфер на 40 байт.

Примітка. У багатьох випадках Перевірка автентичності Windows NTLM працює як треба. Ви не побачите Kerberos автентифікації проблеми без аналізу. Однак, сценарії, в якій настройки групової політики застосовуються можуть не працювати належним чином.

Розв'язанн

Важливо.Щоб вирішити цю проблему, слід указати параметр реєстру MaxTokenSize для всіх комп'ютерів, які беруть участь у процесі автентифікації Kerberos. Це включає в себе клієнти SQL Server.(Тобто, ключ реєстру повинен бути встановлені на кожному комп'ютері, що бере участь в потоці запитів/відповідей. Таким чином, якщо клієнт SQL Server, на які спирається веб-додатків, або якщо маркер користувача має бути прийняте серверну базу даних SQL Server, розділ реєстру повинен бути встановлений на клієнтському комп'ютері SQL Server, комп'ютерних баз даних SQL Server, а також клієнтського комп'ютера, що працює Internet Explorer, веб-сервер, що працює, що працює служба IISі т. д.)

Примітка. Наступні версії Windows включають в себе виправлення для цієї проблеми:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Служба pack інформації

Щоб вирішити цю проблему, отримайте найновіший пакет оновлень для Microsoft Windows 2000. Щоб отримати додаткові відомості клацніть, номер статті в базі знань Майкрософт:
260910 Як отримати найновіший пакет оновлень для Windows 2000

Відомості про виправлень

Виправлення тепер доступна від Microsoft. Тим не менш, вона має на меті усунути проблему, описану в цій статті. Застосовувати його лише для системний інтегратор, які відчувають вказана проблема. Це виправлення може потребувати додаткового приймальні випробування. Тому, якщо ви не завдає на цю проблему, ми рекомендуємо чекати наступного Windows 2000 пакета оновлень, що містить це виправлення.

Щоб вирішити цю проблему негайно, зверніться до представник служби підтримки клієнтів корпорації Microsoft на отримання цього виправлення. Повний список номерів телефонів представник служби підтримки клієнтів клієнтів Microsoft і відомості про перейдіть на веб-сайті Microsoft:
http://support.Microsoft.com/contactus/?ws=support
Примітка. В особливих випадках звинувачення, за зазвичай для звернень до представник служби підтримки клієнтів може бути скасовано якщо за підтримки продуктів корпорації Майкрософт визначає телефонів служби. Витрати на звичайні підтримки буде застосовуватися до додаткової підтримки питання і питання, які не можуть претендувати на оновленням в питанні.Англійська версія цього виправлення має атрибути файлів (або новіші атрибути файлів) подані в нижченаведеній таблиці. Дати й часу для цих файлів перераховані за скоординованим універсальним часом (UTC). Під Вільний час перегляду відомостей про файл, обраховуються за місцевим часом. Щоб визначити різницю між UTC і місцевим часом, використовувати вкладку часовий пояс у дата і вільний Вільний час елемент панелі керування.

Стан

корпорація Майкрософт підтвердила існування цієї неполадки у продуктах Майкрософт, перелічених у розділі «Застосовується до». Цю проблему, спочатку було виправлено у Microsoft Windows 2000 із пакетом оновлень 4.

Додаткові відомості

Маркер розмір розрахунок Windows 2000 до Windows Server 2008 R2

Якщо ви використовуєте виправлення, описане в цій статті, не потрібно змінювати значення реєстру MaxTokenSize в більшості випадків. Однак, є деякі сценарії, в якій ви повинні змінити параметр реєстру MaxTokenSize, після установки цього виправлення. Після застосування цього виправлення на всіх контролерах домену, використайте таку формулу, щоб визначити, чи потрібно змінювати значення MaxTokenSize:
TokenSize = 1200 + 40 d + 8 військових
Ця формула використовує такі значення:
  • d: кількість локальних групах домену, користувач входить до плюс кількість універсальних груп за межами домену облікового запису користувача, які користувач входить до плюс кілька груп, представлених у безпеки журнал ID (SID).
  • s: кількість безпеки глобальної групи, які користувач входить до плюс кількість універсальних груп в обліковий запис А комп'ютера користувача домену, який користувач є членом.
  • 1200: орієнтовної для повітряних квиток. Це значення може змінюватися залежно від такі фактори, як DNS ім'я домену довжиною, назва клієнта та інших факторів.
У сценарії, в якому делегування використовується (наприклад, коли користувачі проходять автентифікацію контролеру домену) ми рекомендуємо подвоїти розмір маркерів.

Коли слід настроїти запис А реєстру

Якщо маркерів розміру, які обчислюють за допомогою цієї формули становить менш ніж 12000 байтів (розмір за промовчанням для), не потрібно змінювати значення реєстру MaxTokenSize на домен клієнтів. Якщо значення є більш ніж 12000 байт, перегляньте наступні статті бази знань Майкрософт Опис того, як налаштувати параметр реєстру MaxTokenSize:

263693 Групова політика не може бути застосований для користувачів, які належать до багатьох груп

Примітки
  • Під Вільний час змінення значення MaxTokenSize, перезавантажте комп’ютер-зразок, щоб зміни є ефективним.
Рекомендоване значення для запису реєстру MaxTokenSize — 65535 десяткові або шістнадцяткові FFFF. Значення MaxTokenSize задає фіксованого Kerberos квитків отримувати буфер, який містить ідентифікаторів SID, які представляють груп, в яких обліковий запис А комп'ютера входить до.

Використовувати безпечне розміру, ви можете встановити MaxTokenSize 48000, такі дискусії про обмеження введені HTTP заголовку розмір далі в цій статті. Залежно від того, яке значення ви використовуєте вперше виникають проблеми з Kerberos помилка події або помилки IIS HTTP 400.

Відомі проблеми, які можуть виникнути

Відомі проблеми для розміру маркер доступу:

Повноваження місцевих безпеки (LSA) послуга генерує доступ до маркера користувача від цього буфера SID. Ліміт жорстко кодований замовника определімих Морс для цей маркер 1015, побачити цю статтю бази Знань:
328889 користувачів, які є членами більш ніж 1,015 груп може не автентифікації для входу
http://support.Microsoft.com/kb/328889/EN-US

Таким чином, значення MaxTokenSize для більш ніж 1015 ефективні Морс не є корисним. У таку формулу:
MaxTokenSize = 1200 + 40 d + 8 військових
40d означає, що у вас є 40 байтів для домену місцевих Група SID. 8 військових означає 8 байтів для домену глобального/універсальний Група SID.

Таким чином, якщо у вас є MaxTokenSize значення 0x0000FFFF (64 Кбайт), можна в буфері близько 1600 домену місцевих Група Морс або приблизно 8000 домену глобального/універсальний Група ідентифікаторів SID. Якщо ви використовуєте "довіреним для делегування" облікові запис А бізнес-партнера, буфер вимога для кожного SID можуть в два рази. У цих сценаріях вас можна зберігати тільки приблизно 800 домену місцевих Група Морс при використанні MaxTokenSize значення 64K. Однак, маючи тільки домен місцевих Група ідентифікаторів SID не є типовий сценарій. Значення 64 Кбайти повинно бути достатньо навіть для делегування сценаріїв.

Відомі проблемипід Вільний час сценарій виконання значення MaxTokenSize більший за 65535

Попередні версії цієї статті обговорюється значень до 100000 байтів для MaxTokenSize. Ми виявили, що версії SMS адміністратора є проблеми, коли MaxTokenSize є 100000 і більше. Ми також визначили, що протокол IPSEC IKE не дозволяє безпеки BLOB стати більше, ніж 66536 байт, і це також не дадуть коли MaxTokenSize встановлений на більші значення.

Буфер прийому відомі проблеми для інтернет інформації сервер HTTP

Internet Information Server (IIS) використовує розмір буфера зниження запит пом'якшення відмову служби атаки вектор 64 Кб. Однак, Kerberos квитків в HTTP запит кодуванні Base64 (шість біти розширено до восьми бітів). Крім того, і у Kerberos квитків використовує 133 відсотків свого початкового розміру. Тому, якщо розмір максимальної буфер 64 Кбайт в IIS, 48 KB Kerberos квитків можна використовувати.

Якщо встановлено значення запису реєстру MaxTokenSize значення, яке перевищує 48000 і буфера використовується простір для Морс, може виникнути помилка IIS. Однак, якщо встановити на MaxTokenSize запис А а реєстру 48000, Kerberos помилки можуть виникнути.

Щоб отримати додаткові відомості про служби IIS розміру буфера клацніть номер статті в базі знань Microsoft Knowledge Base:
310156 Як обмежити розмір заголовку HTTP передачі, що IIS приймає від клієнта у Windows 2000

920862 протокол IMAP про помилку, коли Outlook Web Access користувач намагається отримати доступ до поштової скриньки Exchange Server 2003: "HTTP 400 погано запит на змінення (запит заголовку надто довге)"

Windows Server 2012 зміни

Windows Server 2012 введені наступні зміни до міркування про цей буфера:
  • За промовчанням для MaxTokenSize змінюється на 48000 байт.
  • Існує нова схема для стиснення ідентифікаторів SID у на PAC.
  • Динамічне керування доступом додає служба Active Directory претензій до квитка. Таким чином, обчислення очікуваної квиток розмірів більше не є простим. Очікується, що квитків, що видаються контролерах домену Windows Server 2012, менше, ніж ж квитків, що видаються зі старих версій операційної системи. Претензії додають до розміру квиток. Однак, після того, як Windows Server 2012 файлові сервери широко використовують претензій, ви можете розраховувати на поетапного відмови від значну кількість груп, що контролюють доступ до файлу обрізати квиток розмірів.

Щоб отримати додаткові відомості про зміни Windows Server 2012 зверніться до веб-сайту Microsoft TechNet:
http://TechNet.Microsoft.com/EN-US/Library/hh831717.aspx

Приклади проблем, коли перевищив розмір квиток

Щоб отримати додаткові відомості, клацніть номер статті в базі знань Майкрософт:
277741 Вхід до системи Internet Explorer не через недостатню буфер для Kerberos
313661 протокол IMAP про помилку: "Час очікування минув" відбувається, коли підключення до SQL Server через TCP/IP і Kerberos MaxTokenSize більше 0xFFFF

Тому що ви, можливо, сценарії входу в систему крос доменних у вашому лісі, на необхідно встановити значення ліс wide на всіх системний інтегратор на базі Windows. Тому ми рекомендуємо, що максимальне значення для MaxTokenSize значення бути 64 Кбайти.

Важливо. На клієнти SQL Server може з'явитися таке протокол IMAP про помилку під Вільний час виникнення цієї проблеми:
Не вдалося створити контекст SSPI
Щоб вирішити цю проблему, слід указати параметр реєстру MaxTokenSize для всіх комп'ютерів, які беруть участь у процесі автентифікації Kerberos. Це включає в себе клієнти SQL Server.

Властивості

Номер статті: 327825 - Востаннє переглянуто: 13 червня 2014 р. - Редакція: 4.0
Застосовується до:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Ключові слова: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtuk
Машинний переклад
ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 327825

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com