أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

مشاكل مع مصادقة Kerberos عندما ينتمي مستخدم للعديد من المجموعات

انتهاء دعم نظام التشغيل Windows XP

لقد أنهت شركة Microsoft دعم Windows XP في 8 أبريل، 2014. وقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية327825
ينتهي دعم Windows Vista Service Pack 1 (SP1) في 12 يوليو. للاستمرار في تلقي تحديثات الأمان لنظام التشغيل Windows، تأكد من تشغيل نظام التشغيل Windows Vista باستخدام حزمة الخدمة service Pack 2 (SP2). للحصول على مزيد من المعلومات، يمكنك الرجوع إلى هذا صفحة Microsoft على ويب: انتهاء الدعم لبعض إصدارات Windows.
الأعراض
عندما يقوم مستخدم ينتمي إلى مجموعات كثيرة، قد المستخدم مشاكل المصادقة أو إعدادات "نهج المجموعة". مقالات "قاعدة معارف Microsoft" التالية تصف هذه الأعراض بمزيد من التفصيل:

269643 مصادقة Kerberos مستكشف إنترنت لا يعمل بسبب مخزن مؤقت غير كافية للاتصال ب IIS
280380 استغلال تجاوز سعة المخزن المؤقت المحتملة مع الإجراءات المخزنة الموسعة
2020943 الخطأ "HTTP 400-طلب غير صحيح (طلب رأس طويل جداً)" في "خدمات معلومات إنترنت" (IIS)
يرشد القرار الموضح في هذه المقالات بتعديل قيمة التسجيل MaxTokenSize. تم إجراء تحسين لهذا القرار. إذا كنت تستخدم الإصلاح الجديد الموضح في هذه المقالة، قد يلزم عدم تحرير MaxTokenSize القيمة الافتراضية.

الإصلاح العاجل الموضح في هذه المقالة محل الإصلاحات العاجلة الموضحة في مقالات "قاعدة معارف Microsoft" المسردة في هذا القسم.
السبب
لا يمكن مصادقة المستخدم للحد الأقصى حجم ثابت يحتوي Kerberos الرمز المميز الذي تم إنشاؤه أثناء محاولات المصادقة. عمليات النقل مثل استدعاء الإجراء البعيد (RPC) وتعتمد على قيمة MaxTokenSize HTTP عند يمكنهم تخصيص المخازن المؤقتة للمصادقة. في Windows 2000 (الإصدار الأصلي)، قيمة MaxTokenSize 8.000 بايت. في Windows 2000 Service Pack 2 (SP2) و Windows Server 2003، قيمة MaxTokenSize بايت 12000.

يستخدم Kerberos حقل امتياز سمة الشهادة المعنية بحزمة Kerberos للنقل عضوية مجموعة خدمة active Directory. بدءاً ب Windows Server 2012، ينطبق هذا أيضا على مجال المعلومات (ديناميكية التحكم بالوصول) "دعاوى الدليل النشط". إذا كان هناك العديد من عضوية المجموعة للمستخدم، وإذا كان هناك العديد من المطالبات للمستخدم أو الجهاز الذي يستخدم هذه الحقول يمكن أن تشغل الكثير من المساحة الموجودة في الحزمة.

إذا كان مستخدم عضوا في أكثر من 120 مجموعة المخزن المؤقت المحدد بواسطة قيمة MaxTokenSize غير كافية. ولذلك، لا يمكن مصادقة المستخدمين، وقد تظهر رسالة خطأ "نفاد الذاكرة". قبل تطبيق الإصلاح العاجل الموضح في هذه المقالة، يزيد كل مجموعة يضاف إلى حساب مستخدم هذا المخزن المؤقت ب 40 بايت.

ملاحظة في العديد من الحالات، مصادقة Windows NTLM يعمل كما هو متوقع. قد لا ترى مشكلة مصادقة Kerberos دون تحليل. ومع ذلك، قد لا تعمل وحدات السيناريو التي يتم تطبيق إعدادات "نهج المجموعة" كما هو متوقع.
الحل
هاملحل هذه المشكلة، يجب تعيين قيمة التسجيل MaxTokenSize لكافة أجهزة الكمبيوتر المتضمنة في عملية مصادقة Kerberos. وهذا يشمل العملاء SQL Server.(هو مفتاح التسجيل يحتوي على كل كمبيوتر يشارك في تدفق الطلب/الاستجابة. ولذلك، إذا كان هناك عميل SQL Server الذي يستند إليه تطبيق ويب، أو إذا كان الرمز المميز للمستخدم إلى قاعدة بيانات SQL Server الحالي، يحتوي مفتاح التسجيل تعيين على كمبيوتر عميل SQL Server، كمبيوتر قاعدة البيانات SQL Server، وأيضا الكمبيوتر العميل الذي يقوم بتشغيل برنامج Internet Explorer، ملقم ويب قيد التشغيل الذي يقوم بتشغيل IIS، وهكذا.)

ملاحظة إصدارات Windows التالية تتضمن حلاً لهذه المشكلة:
  • Windows8
  • ملقم Windows 2012
  • Windows 7
  • Windows Server 2008 R2
  • نظام التشغيل Windows Server 2003
  • نظام التشغيل Windows Vista
  • Windows Server 2008
  • Windows XP Professional

معلومات حزمة الخدمة

لحل هذه المشكلة، يجب الحصول على أحدث حزمة خدمة لنظام التشغيل Microsoft Windows 2000. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
260910 كيفية الحصول على أحدث حزمة خدمة Windows 2000

معلومات الإصلاح العاجل

يتوفر الآن إصلاح جديد معتمد من Microsoft. ومع ذلك، الغرض منه هو حل المشكلة الموضحة في هذه المقالة فقط. قم بتطبيقها فقط على الأنظمة التي تواجه هذه المشكلة بالتحديد. قد يتم إجراء اختبارات إضافية على هذا الإصلاح العاجل. ولذلك، إذا لم يكن تأثير المشكلة كبيرا، نوصي بالانتظار حتى الإصدار التالي حزمة الخدمة Windows 2000 الذي يحتوي على هذا الإصلاح العاجل.

لحل هذه المشكلة فورا، اتصل بخدمات دعم العملاء في Microsoft للحصول على الإصلاح العاجل. للحصول على قائمة كاملة من أرقام هواتف خدمات دعم العملاء في Microsoft وعلى معلومات حول تكاليف الدعم، انتقل إلى موقع Microsoft التالي على الويب:ملاحظة في بعض الحالات، قد يتم إلغاء المصروفات التي تحتسب عادة على مكالمات الدعم إذا قرر أخصائي الدعم لدى Microsoft أن تحديثًا معيناً سوف يعمل على حل المشكلة. سيتم تطبيق تكاليف الدعم المعتادة على أسئلة الدعم الإضافية والمشكلات التي لا يعمل على حلها هذا التحديث.يحتوي إصدار اللغة الإنجليزية من هذا الإصلاح العاجل سمات الملف (أو سمات الملفات الأحدث) المسرودة في الجدول التالي. يتم سرد التواريخ والأوقات الخاصة بهذه الملفات "التوقيت العالمي" المتفق عليه (UTC). عندما تقوم بعرض معلومات الملف، يتم تحويلها إلى التوقيت المحلي. لمعرفة الفرق بين التوقيت العالمي UTC والتوقيت المحلي، استخدم علامة التبويب المنطقة الزمنية في العنصر التاريخ والوقت في "لوحة التحكم".
تصريح
أقرت Microsoft أن هذه هي مشكلة في منتجات Microsoft المسردة في قسم "تنطبق على". تم تصحيح هذه المشكلة أولاً في Microsoft Windows 2000 Service Pack 4.
معلومات أخرى

الرمز المميز حجم حساب Windows 2000 إلى Windows Server 2008 R2

إذا كنت تستخدم الإصلاح الجديد الموضح في هذه المقالة، لم تكن لتعديل قيمة التسجيل MaxTokenSize في معظم الحالات. ومع ذلك، هناك بعض السيناريوهات التي تحتاج إلى تعديل قيمة التسجيل MaxTokenSize بعد تطبيق هذا الإصلاح العاجل. بعد تطبيق هذا الإصلاح العاجل على كافة وحدات تحكم المجال، استخدم الصيغة التالية لتحديد ما إذا كان لتعديل قيمة MaxTokenSize:
توكينسيزي = 1200 + 40 d + 8s
تستخدم هذه الصيغة القيم التالية:
  • d: عدد مجموعات المجال المحلية كان مستخدم عضوا بالإضافة إلى عدد المجموعات العالمية خارج مجال حساب المستخدم التي يكون المستخدم عضوا بالإضافة إلى عدد المجموعات الممثلة في أمان محفوظات معرف (SID).
  • s: عدد مجموعات الأمان العمومية التي يكون مستخدم عضوا بالإضافة إلى عدد المجموعات العالمية في مجال حساب المستخدم التي يكون المستخدم عضوا.
  • 1200: القيمة المقدرة لحمل البطاقة. هذه القيمة يمكن أن تختلف تبعاً لعوامل مثل طول اسم المجال DNS واسم العميل وعوامل أخرى.
في وحدات السيناريو التي يتم استخدام التفويض (على سبيل المثال، عند مصادقة المستخدمين لوحدة تحكم مجال)، نوصي بأن تقوم بمضاعفة حجم الرمز المميز.

عند تعيين إدخال التسجيل

إذا كان حجم الرمز المميز الذي يحسب باستخدام هذه الصيغة أقل من 12000 بايت (الحجم الافتراضي)، لم تكن لتعديل قيمة التسجيل MaxTokenSize على الأجهزة العميلة في المجال. إذا كانت القيمة أكثر من 12000 بايت، راجع مقالة "قاعدة معارف Microsoft" التالية للحصول على وصف لكيفية ضبط قيمة التسجيل MaxTokenSize:

263693 قد لا يتم تطبيق نهج المجموعة للمستخدمين الذين ينتمون إلى مجموعات كثيرة

ملاحظات
  • عند تغيير قيمة MaxTokenSize، يجب إعادة تشغيل الكمبيوتر حتى يكون التغيير فعالاً.
القيمة الموصى بها لإدخال التسجيل MaxTokenSize هو FFFF الست عشري أو عشري 65535. تعين القيمة MaxTokenSize تذكرة Kerberos ثابتة تلقي المخزن المؤقت الذي يحتوي على معرفات الأمان التي تمثل مجموعات الحساب عضو.

لاستخدام حجم أمن، يمكنك تعيين MaxTokenSize إلى 48000، عقب المناقشة حول تقييد عرض بحجم رأس HTTP لاحقاً في هذه المقالة. اعتماداً على ما هي القيمة التي تستخدمها، فأولاً تواجه مشكلة أحداث الخطأ Kerberos أو أخطاء IIS HTTP 400.

المشكلات المعروفة التي قد تواجهها

المشكلات المعروفة لحجم "رمز الوصول":

خدمة مرجع الأمان المحلي (LSA) بإنشاء "رمز وصول" المستخدم من هذا المخزن المؤقت SID. حد مضمنة للعميل هو تعريف الدول الجزرية الصغيرة النامية للرمز المميز هذا 1015، راجع مقالة قاعدة المعارف هذه:
328889 المستخدمين الذين هم أعضاء في مجموعات 1015 أكثر من احتمال فشل مصادقة تسجيل الدخول
http://support.microsoft.com/kb/328889/EN-US

ولذلك، قيمة MaxTokenSize لأكثر من 1015 معرفات الأمان الفعالة غير مفيدة. في الصيغة التالية:
MaxTokenSize = 1200 + 40 d + 8s
د 40 يعني وجود 40 بايت ل SID مجموعة المجال المحلية. يعني 8s 8 بايت "معرف أمان المجال" العالمي/العالمي المجموعة.

ولذلك، إذا كان لديك قيمة MaxTokenSize 0x0000FFFF (64 كيلو بايت)، قد تكون قادراً على المخزن المؤقت حوالي 1600 المجال المحلي مجموعة الدول الجزرية الصغيرة النامية أو حوالي 8000 المجال العالمي/العالمي مجموعة الدول الجزرية الصغيرة النامية. إذا كنت تستخدم حسابات "موثوق للتفويض"، قد تضاعفت متطلبات المخزن المؤقت كل SID. في هذه السيناريوهات، يمكنك تخزين حوالي 800 المجال SIDs المجموعة المحلية عند استخدام MaxTokenSize قيمة 64 كيلو بايت. ومع ذلك، تواجه فقط "المجال المحلي مجموعة الدول الجزرية الصغيرة النامية" غير نموذجي. يجب أن تكون قيمة 64 كيلو بايت كافية حتى بالنسبة لسيناريوهات التفويض.

المشكلات المعروفةعند استخدام قيم أكبر من 65535 MaxTokenSize

الإصدارات السابقة من هذه المادة وناقش قيم وحدات البايت 100000 حتى MaxTokenSize. وقد وجدنا أن إصدارات مسؤول SMS تواجه مشاكل عند MaxTokenSize 100000 أو أكبر. وقد حددنا أيضا بروتوكول IPSEC IKE لا يسمح أمان BLOB تصبح أكبر من وحدات البايت 66536 وستفشل أيضا عندما يتم تعيين MaxTokenSize إلى قيمة أكبر.

المشكلات المعروفة لخادم معلومات إنترنت HTTP تلقي المخزن المؤقت

يستخدم ملقم معلومات إنترنت (IIS) طلب تخفيض حجم المخزن مؤقت للتخفيف من حدة حرمان من الهجوم الموجه بواسطة خدمة 64 كيلو بايت. ومع ذلك، هو تذكرة Kerberos في طلب HTTP ترميز Base64 (توسيع بت ستة إلى ثمانية بتات). بالإضافة إلى ذلك، ويتم استخدام تذكرة Kerberos 133 في المائة حجمه الأصلي. ولذلك، عندما يكون الحجم الأقصى للمخزن المؤقت 64 كيلو بايت في IIS، يمكن استخدام كيلوبايت 48 تذكرة Kerberos.

إذا قمت بتعيين إدخال التسجيل MaxTokenSize إلى قيمة أكبر من 48000، ويتم استخدام مساحة المخزن المؤقت للدول الجزرية الصغيرة النامية، قد يحدث خطأ IIS. على الرغم من ذلك، إذا قمت بتعيين إدخال التسجيل MaxTokenSize ل 48000، قد تحدث مشكلة Kerberos.

لمزيد من المعلومات حول IIS أحجام المخازن المؤقتة، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
310156 كيفية تحديد حجم رأس الإرسال HTTP التي تقبل IIS من عميل في نظام التشغيل Windows 2000

920862 ظهور رسالة خطأ عند محاولة مستخدم Outlook Web Access الوصول إلى علبة بريد في Exchange Server 2003: "HTTP 400 طلب تالف (رأس الطلب طويل جداً)"

التغييرات Windows Server 2012

عرض Windows Server 2012 التغييرات التالية للاعتبارات حول هذا المخزن المؤقت:
  • تغيير الإعداد الافتراضي ل MaxTokenSize 48000 بايت.
  • هناك نظام جديد لضغط الدول الجزرية الصغيرة النامية في المعنية
  • التحكم بالوصول الحيوية إضافة "مطالبات الدليل النشط" للبطاقة. لذلك، حساب أحجام تذكرة المتوقعة لم يعد مباشرة. المتوقع هو أن التذاكر التي تم إصدارها من قبل وحدات تحكم المجال Windows Server 2012 أصغر من نفس التذاكر التي تصدر من إصدارات نظام التشغيل الأقدم. إضافة مطالبات إلى حجم البطاقة. ومع ذلك، بعد تستخدم ملقمات ملفات Windows Server 2012 المطالبات على نطاق واسع، يمكنك توقع تدريجيا إلى عدد كبير من المجموعات الخاصة بك التي تتحكم في الوصول إلى قطع التذاكر أحجام الملف.

لمزيد من المعلومات حول التغييرات 2012 ملقم Windows، انتقل إلى موقع Microsoft TechNet التالي على الويب:

أمثلة على المشاكل عند تجاوز حجم البطاقة

لمزيد من المعلومات، انقر فوق أرقام المقالات التالية لعرض المقالات في قاعدة معارف Microsoft:
277741 فشل تسجيل الدخول في Internet Explorer نظراً لوجود مخزن غير كافية ل Kerberos
313661 رسالة الخطأ: "انتهت مهلة" عند الاتصال ب SQL Server عبر TCP/IP و Kerberos MaxTokenSize أكبر من 0xFFFF

نظراً لإمكانية احتواء سيناريوهات تسجيل الدخول عبر المجالات في مجموعة التفرعات، يجب تعيين القيمة الغابات العالمية على كافة الأنظمة المستندة إلى Windows. ولذلك، نوصي بأن يكون الحد الأقصى لقيمة MaxTokenSize القيمة 64 كيلو بايت.

هام على العملاء SQL Server، قد تتلقى رسالة الخطأ التالية عند حدوث هذه المشكلة:
يتعذر إنشاء سياق SSPI
لحل هذه المشكلة، يجب تعيين قيمة التسجيل MaxTokenSize لكافة أجهزة الكمبيوتر المتضمنة في عملية مصادقة Kerberos. وهذا يشمل العملاء SQL Server.

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 327825 - آخر مراجعة: 06/13/2014 12:23:00 - المراجعة: 5.0

Microsoft Windows XP Professional, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows 8 Enterprise, Windows 8 Pro, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtar
تعليقات
Asimov.clickstreamTracker.init(); ml>/html>did=1&t=">