V?n đ? v?i xác th?c Kerberos khi ngư?i dùng thu?c v? nhi?u nhóm

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 327825 - Xem s?n ph?m mà bài này áp d?ng vào.
H? tr? cho Windows Vista Gói b?n ghi d?ch v? 1 (SP1) k?t thúc vào ngày 12 tháng 7 năm 2011. Đ? ti?p t?c nh?n đư?c b?n c?p nh?t b?o m?t cho Windows, h?y ch?c ch?n r?ng b?n đang ch?y Windows Vista v?i Gói b?n ghi d?ch v? 2 (SP2). Đ? bi?t thêm chi ti?t, là web site Microsoft này: H? tr? là k?t thúc cho m?t s? phiên b?n c?a Windows.
Bung t?t c? | Thu g?n t?t c?

? Trang này

Tri?u ch?ng

Khi ngư?i dùng thu?c v? nhi?u nhóm, ngư?i dùng đó có th? có v?n đ? v?i xác th?c ho?c v?i thi?t đ?t chính sách nhóm. Bài vi?t Cơ s? tri th?c Microsoft sau đây mô t? các tri?u ch?ng c? th? hơn:

269643 Internet Explorer Xác thực Kerberos không làm vi?c v? m?t vùng đ?m không đ? k?t n?i v?i IIS
280380 Khai thác l?i tràn b? đ?m có th? m? r?ng th? t?c d?ch s?n
2020943 "HTTP 400 - Bad yêu c?u (yêu c?u tiêu đ? quá dài)" l?i trong Internet Information Services (IIS)
Đ? phân gi?i đư?c mô t? trong nh?ng bài vi?t này hư?ng d?n b?n đ? s?a đ?i giá tr? ki?m nh?p MaxTokenSize. M?t s? c?i ti?n đ? đư?c th?c hi?n đ? gi?i quy?t này. N?u b?n s? d?ng các hotfix đư?c mô t? trong bài vi?t này, b?n có th? không c?n ph?i ch?nh s?a giá tr? m?c đ?nh MaxTokenSize.

Hotfix đư?c mô t? trong bài vi?t này thay th? các hotfix đư?c mô t? trong bài vi?t Cơ s? tri th?c Microsoft đư?c li?t kê trong ph?n này.

Nguyên nhân

Ngư?i dùng không th? xác nh?n b?i v? k? ni?m Kerberos đư?c t?o ra trong khi c? g?ng xác th?c có m?t kích thư?c c? đ?nh t?i đa. Tàu v?n t?i như cu?c g?i th? t?c t? xa (RPC) và HTTP d?a trên giá tr? MaxTokenSize khi h? phân b? b? đ?m cho xác th?c. Trong Windows 2000 (Phiên b?n phát hành ban đ?u), giá tr? MaxTokenSize là 8.000 byte. Trong Windows 2000 Service Pack 2 (SP2) và Windows Server 2003, giá tr? MaxTokenSize là 12.000 byte.

Kerberos s? d?ng trư?ng đ?c quy?n thu?c tính gi?y ch?ng nh?n (PAC) c?a gói Kerberos đ? v?n chuy?n ho?t đ?ng m?c tin thư thoại nhóm thành viên. B?t đ?u v?i Windows Server 2012, đi?u này c?ng áp d?ng cho trư?ng thông tin (đi?u khi?n truy c?p năng đ?ng) m?c tin thư thoại ho?t đ?ng yêu c?u b?i thư?ng. N?u có nhi?u nhóm thành viên cho ngư?i dùng, và n?u có nhi?u yêu c?u b?i thư?ng cho ngư?i s? d?ng ho?c các thi?t b? đang đư?c s? d?ng, các l?nh v?c có th? chi?m nhi?u không gian trong gói.

N?u ngư?i dùng là thành viên c?a nhóm hơn 120, các b? đ?m đư?c xác đ?nh b?i giá tr? MaxTokenSize là không đ? l?n. Do đó, ngư?i dùng không th? xác th?c, và h? có th? nh?n đư?c m?t "ra kh?i b? nh?" thông báo l?i. Trư?c khi b?n áp d?ng hotfix đư?c mô t? trong bài vi?t này, m?i nhóm đư?c thêm vào tài kho?n ngư?i dùng tăng b? đ?m này b?i 40 byte.

Lưu ?: Trong nhi?u t?nh hu?ng, Windows NTLM xác th?c ho?t đ?ng như mong đ?i. B?n không th? th?y v?n đ? xác th?c Kerberos mà không c?n phân tích. Tuy nhiên, t?nh hu?ng trong đó đư?c áp d?ng thi?t đ?t chính sách nhóm có th? không làm vi?c như mong đ?i.

Gi?i pháp

Quan tr?ngĐ? gi?i quy?t v?n đ? này, b?n ph?i đ?t giá tr? s? ki?m nh?p MaxTokenSize cho t?t c? các máy tính có liên quan trong quá tr?nh xác th?c Kerberos. Đi?u này bao g?m các khách hàng SQL Server.(Có ngh?a là, khoá ki?m nh?p đ? đư?c đ?t trên m?i máy tính có liên quan đ?n d?ng yêu c?u/ph?n ?ng. V? v?y, n?u có m?t khách hàng SQL Server trên đó m?t ứng dụng web d?a, ho?c n?u m? thông báo c?a ngư?i dùng đ? đư?c thông qua m?t b? máy cơ s? d? li?u SQL Server ph? tr?, khoá ki?m nh?p đ? đư?c thi?t l?p trên máy tính khách hàng SQL Server, SQL Server b? máy cơ s? d? li?u máy tính, và c?ng tính khách hàng đang ch?y Internet Explorer, các Máy ch? Web ch?y mà ch?y IISvà vân vân.)

Lưu ?: Các phiên b?n Windows sau bao g?m m?t s?a ch?a cho v?n đ? này:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

b?n ghi d?ch v? gói thông tin

Đ? gi?i quy?t v?n đ? này, có đư?c gói b?n ghi d?ch v? m?i nh?t cho Microsoft Windows 2000. Đ? bi?t thêm thông tin, hãy nh?p vào s? bài vi?t sau đ? xem bài vi?t trong Cơ s? Ki?n th?c Microsoft:
260910 Làm th? nào đ? có đư?c Windows 2000 service pack m?i nh?t

Thông tin hotfix

M?t hotfix đư?c h? tr? bây gi? có s?n t? Microsoft. Tuy nhiên, nó là nh?m kh?c ph?c ch? s? c? đư?c mô t? trong bài vi?t này. Áp d?ng nó ch? cho h? th?ng đang g?p v?n đ? c? th? này. Hotfix này có th? nh?n đư?c th? nghi?m b? sung. V? v?y, n?u b?n không b? ?nh hư?ng b?i v?n đ? này, chúng tôi đ? ngh? r?ng b?n ch? đ?i cho gói b?n ghi d?ch v? ti?p theo Windows 2000 có ch?a hotfix này.

Đ? gi?i quy?t v?n đ? này ngay l?p t?c, liên h? v?i b?n ghi d?ch v? h? tr? khách hàng Microsoft đ? có đư?c các hotfix. Đ? hoàn thành danh sách các b?n ghi d?ch v? h? tr? Microsoft khách hàng s? đi?n tho?i và các thông tin v? chi phí h? tr?, h?y truy c?p website sau c?a Microsoft:
http://support.Microsoft.com/contactus/?WS=support
Lưu ?: Trong trư?ng h?p đ?c bi?t, chi phí mà thư?ng ph?i gánh ch?u cho các cu?c g?i h? tr? có th? đư?c h?y b? n?u chuyên viên h? tr? Microsoft xác đ?nh r?ng m?t C?p Nh?t c? th? s? gi?i quy?t v?n đ? c?a b?n. Các chi phí h? tr? thông thư?ng s? áp d?ng đ? h? tr? thêm câu h?i và v?n đ? mà không đ? đi?u ki?n cho C?p Nh?t c? th? trong câu h?i.Các phiên b?n ti?ng Anh c?a hotfix này có các thu?c tính t?p (ho?c sau này t?p tin thu?c tính) mà đư?c li?t kê trong b?ng sau. Ngày tháng và th?i gian cho nh?ng t?p tin đư?c li?t kê trong Gi? Qu?c t? Ph?i h?p (UTC). Khi b?n xem chi tieát taäp tin, nó b? chuy?n thành gi? c?c b?. Đ? t?m s? khác nhau gi?a UTC và local time, s? d?ng th?i gian khu v?c th? tab trong ngaøy giôø m?c trong Panel điều khiển.

T?nh tr?ng

Microsoft đ? xác nh?n r?ng đây là m?t v?n đ? trong s?n ph?m c?a Microsoft đư?c li?t kê trong ph?n "Áp d?ng cho". V?n đ? này l?n đ?u tiên đư?c s?a ch?a trong Microsoft Windows 2000 Service Pack 4.

Thông tin thêm

Token kích thư?c tính toán Windows 2000 lên Windows Server 2008 R2

N?u b?n s? d?ng các hotfix đư?c mô t? trong bài vi?t này, b?n không c?n ph?i s?a đ?i giá tr? ki?m nh?p MaxTokenSize trong h?u h?t trư?ng h?p. Tuy nhiên, có là m?t s? k?ch b?n trong đó b?n ph?i s?a đ?i giá tr? ki?m nh?p MaxTokenSize sau khi b?n áp d?ng hotfix này. Sau khi b?n áp d?ng hotfix này cho t?t c? các b? đi?u khi?n tên mi?n, s? d?ng công th?c sau đây đ? xác đ?nh cho dù b?n ph?i s?a đ?i giá tr? MaxTokenSize:
TokenSize = 1200 + 40 d + 8s
Công th?c này s? d?ng các giá tr? sau:
  • d: s? mi?n đ?a phương Nhóm ngư?i dùng là thành viên c?a c?ng v?i s? lư?ng ph? quát nhóm bên ngoài c?a ngư?i dùng miền tài khoản ngư?i dùng là thành viên c?a c?ng v?i s? lư?ng các nhóm đ?i di?n trong an ninh ID (SID) l?ch s?.
  • s: s? an ninh toàn c?u nhóm mà ngư?i dùng là thành viên c?a c?ng v?i s? lư?ng các nhóm ph? quát trong miền tài khoản ngư?i dùng c?a ngư?i dùng là thành viên c?a.
  • 1200: đáng lo vé trên cao, ư?c tính. Giá tr? này có th? khác nhau, tùy thu?c vào các y?u t? ch?ng h?n như đ? dài tên mi?n DNS, tên khách hàng, và các y?u t? khác.
Trong t?nh hu?ng trong đó đoàn đ?i bi?u đư?c s? d?ng (ví d?, khi ngư?i dùng xác th?c đ? đi?u khi?n vùng), chúng tôi khuyên r?ng b?n tăng g?p đôi kích thư?c token.

Khi nào th? đ?t m?c ki?m nh?p

N?u m? thông báo kích thư?c b?n tính toán b?ng cách s? d?ng công th?c này là ít hơn 12.000 byte (kích thư?c m?c đ?nh), b?n không c?n ph?i s?a đ?i giá tr? ki?m nh?p MaxTokenSize trên máy s? d?ng tên mi?n. N?u giá tr? là hơn 12.000 byte, xem bài vi?t Cơ s? tri th?c Microsoft sau cho m?t mô t? v? cách đi?u ch?nh giá tr? ki?m nh?p MaxTokenSize:

263693 chính sách nhóm có th? không đư?c áp d?ng cho ngư?i dùng thu?c nhi?u nhóm

Lưu ý
  • Khi b?n thay đ?i giá tr? MaxTokenSize, b?n ph?i kh?i đ?ng l?i máy tính đ? thay đ?i có hi?u qu?.
Giá tr? đư?c đ? ngh? cho các m?c nh?p registry MaxTokenSize là 65535 th?p phân ho?c th?p l?c phân FFFF. Giá tr? MaxTokenSize ch? đ?nh m?t vé Kerberos c? đ?nh nh?n b? đ?m ch?a SIDs đ?i di?n cho các nhóm trong đó tài kho?n là m?t thành viên.

Đ? s? d?ng m?t kích thư?c Két an toàn, b?n có th? ch?n đ? đ?t MaxTokenSize đ? 48000, sau các cu?c th?o lu?n v? m?t gi?i h?n b?i kích thư?c tiêu đ? HTTP sau này trong bài vi?t này. Tùy thu?c vào nh?ng g? giá tr? b?n đang s? d?ng, b?n l?n đ?u tiên g?p ph?i m?t v?n đ? v?i Kerberos l?i s? ki?n, ho?c IIS HTTP 400 l?i.

V?n đ? đ? bi?t mà b?n có th? g?p ph?i

V?n đ? đ? bi?t cho kích thư?c truy c?p m? thông báo:

b?n ghi d?ch v? cơ quan an ninh đ?a phương (LSA) t?o ra ngư?i s? d?ng truy c?p m? thông báo t? b? đ?m SID này. Gi?i h?n c?ng m? hóa c?a khách hàng definable SIDs cho m? thông báo này là 1,015, xem bài KB này:
328889 ngư?i s? d?ng là thành viên c?a nhóm nhi?u hơn 1.015 có th? không xác th?c kí nh?p
http://support.Microsoft.com/kb/328889/en-US

Do đó, m?t MaxTokenSize đáng giá hơn 1015 SIDs hi?u qu? là không h?u ích. Vào công th?c sau:
MaxTokenSize = 1200 + 40 d + 8s
40d có ngh?a là b?n có 40 byte cho m?t mi?n đ?a phương nhóm SID. 8S có ngh?a là 8 byte cho m?t tên mi?n toàn c?u/Universal nhóm SID.

V? v?y, n?u b?n có giá tr? MaxTokenSize 0x0000FFFF (64K), b?n có th? có th? đ? đ?m kho?ng 1600 mi?n đ?a phương nhóm SIDs ho?c kho?ng 8000 mi?n toàn c?u/Universal nhóm SIDs. N?u b?n s? d?ng tài kho?n "đáng tin c?y cho các đoàn đ?i bi?u", yêu c?u b? đ?m cho m?i SID có th? đư?c tăng g?p đôi. Trong nh?ng t?nh hu?ng, b?n ch? có th? lưu tr? kho?ng 800 mi?n đ?a phương nhóm SIDs khi giá tr? MaxTokenSize 64K đư?c s? d?ng. Tuy nhiên, có ch? mi?n đ?a phương nhóm SIDs không ph?i là m?t trư?ng h?p đi?n h?nh. M?t giá tr? c?a 64K nên là đ? ngay c? đ?i v?i phái đoàn k?ch b?n.

V?n đ? đ? bi?tkhi s? d?ng các giá tr? c?a MaxTokenSize l?n hơn 65535

Các phiên b?n trư?c c?a bài vi?t này th?o lu?n v? các giá tr? lên đ?n 100000 byte cho MaxTokenSize. Chúng tôi đ? t?m th?y r?ng phiên b?n c?a ngư?i qu?n tr? SMS có v?n đ? khi MaxTokenSize 100000 ho?c l?n hơn. Chúng tôi c?ng đ? xác đ?nh r?ng giao th?c IPSEC IKE không cho phép m?t b?o m?t các đ?m màu đ? tr? thành l?n hơn 66536 byte, và nó c?ng s? th?t b?i khi MaxTokenSize đư?c đ?t thành m?t giá tr? l?n hơn.

V?n đ? đ? bi?t cho Internet thông tin máy ch? HTTP nh?n b? đ?m

Internet Information Server (IIS) s? d?ng m?t kích thư?c b? đ?m gi?m yêu c?u đ? gi?m thi?u m?t t? ch?i b?n ghi d?ch v? t?n công véc tơ c?a 64 KB. Tuy nhiên, m?t vé Kerberos trong m?t yêu c?u HTTP đư?c m? hóa như Base64 (sáu bit m? r?ng đ? 8 bit). Ngoài ra, và lo vé Kerberos s? d?ng 133 ph?n trăm c?a kích thư?c ban đ?u c?a nó. Do đó, khi kích thư?c b? đ?m t?i đa là 64 KB trong IIS, 48 KB Kerberos vé có th? đư?c s? d?ng.

N?u b?n thi?t l?p các m?c nh?p registry MaxTokenSize m?t giá tr? l?n hơn 48000, và không gian đ?m đư?c s? d?ng cho SIDs, l?i IIS có th? x?y ra. Tuy nhiên, n?u b?n đ?t các m?c nh?p registry MaxTokenSize 48000, Kerberos l?i có th? x?y ra.

Đ? bi?t thêm chi ti?t v? IIS b? đ?m kích thư?c, nh?p vào s? bài vi?t sau đ? xem các bài vi?t trong cơ s? ki?n th?c Microsoft:
310156 Làm th? nào đ? gi?i h?n kích thư?c tiêu đ? c?a truy?n HTTP IIS ch?p nh?n t? m?t khách hàng trong Windows 2000

920862 Thông báo l?i khi m?t ngư?i s? d?ng Outlook Web Access c? g?ng truy c?p m?t h?p thư trong Exchange Server 2003: "HTTP 400 Bad Request (yêu c?u tiêu đ? quá dài)"

Thay đ?i Windows Server 2012

Windows Server 2012 gi?i thi?u nh?ng thay đ?i sau đ? cân nh?c v? b? đ?m này:
  • M?c đ?nh cho MaxTokenSize thay đ?i đ?n 48.000 byte.
  • Đó là m?t đ? án m?i cho nén sids trong PAC.
  • Ki?m soát truy c?p năng đ?ng thêm ho?t đ?ng m?c tin thư thoại yêu c?u b?i thư?ng đ? vé. V? v?y, tính toán các kích thư?c d? ki?n s? lo vé không c?n đơn gi?n. K? v?ng là vé đư?c phát hành b?i b? ki?m soát mi?n Windows Server 2012 là nh? hơn so v?i cùng m?t vé đư?c phát hành t? phiên b?n hệ điều hành c? hơn. Yêu c?u thêm vào kích thư?c lo vé. Tuy nhiên, sau khi Windows Server 2012 t?p tin máy ch? đang s? d?ng yêu c?u b?i thư?ng r?ng r?i, b?n có th? mong đ?i đ? giai đo?n trong m?t s? lư?ng đáng k? c?a nhóm c?a b?n ki?m soát truy c?p t?p tin ph?i c?t kích thư?c lo vé.

Đ? bi?t thêm chi ti?t v? nh?ng thay đ?i Windows Server 2012, h?y vào web site Microsoft TechNet sau đây:
http://technet.Microsoft.com/en-US/Library/hh831717.aspx

Ví d? v? các v?n đ? khi vư?t quá kích thư?c lo vé

Đ? bi?t thêm thông tin, b?m vào s? bài vi?t sau đ? xem bài vi?t trong Cơ s? Ki?n th?c Microsoft:
277741 Internet Explorer kí nh?p không thành công do m?t vùng đ?m không đ? cho Kerberos
313661 Thông báo l?i: "Timeout h?t h?n" x?y ra khi b?n k?t n?i v?i SQL Server trên TCP/IP và Kerberos MaxTokenSize là l?n hơn 0xFFFF

B?i v? b?n có th? có k?ch b?n cross-mi?n kí nh?p trong r?ng c?a b?n, giá tr? nên đư?c thi?t l?p trên toàn r?ng trên t?t c? các h? th?ng d?a-trên-Windows. V? v?y, chúng tôi đ? ngh? r?ng đáng giá tr? MaxTokenSize, t?i đa là 64K.

Quan tr?ng Trên SQL Server khách hàng, b?n có th? nh?n đư?c thông báo l?i sau khi v?n đ? này x?y ra:
Không th? t?o b?i c?nh SSPI
Đ? gi?i quy?t v?n đ? này, b?n ph?i đ?t giá tr? s? ki?m nh?p MaxTokenSize cho t?t c? các máy tính có liên quan trong quá tr?nh xác th?c Kerberos. Đi?u này bao g?m các khách hàng SQL Server.

Thu?c tính

ID c?a bài: 327825 - L?n xem xét sau cùng: 12 Tháng Sáu 2014 - Xem xét l?i: 6.0
Áp d?ng
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
T? khóa: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài viết này được d?ch b?ng phần mềm dịch thu?t của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa l?i thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung c?p các bài vi?t đư?c c? biên d?ch viên và ph?n m?m d?ch thu?t th?c hi?n và c?ng đ?ng ch?nh s?a l?i đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng nhi?u ngôn ng? Tuy nhiên, bài vi?t do máy d?ch hoặc thậm chí cộng đồng chỉnh sửa sau không ph?i lúc nào c?ng hoàn h?o. Các bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này: 327825

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com