Aplikace Internet Explorer přihlášení nezdaří z důvodu nedostatečná velikost vyrovnávací paměti pro protokol Kerberos

Důležité: Tento článek obsahuje informace o úpravě registru. Přesvědčte se, zda zálohovat registr před úpravami. Ujistěte se, že víte, jak registr obnovit v případě výskytu problému. Další informace o zálohování, obnovení a úpravě registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows

Příznaky

Během procesu připojování k serveru Internet Information Server (IIS) nakonfigurována pro ověření systému Windows 2000 uživatel nabídnuty dialogové okno Zadat síťové heslo . Uživatel se pokusí přihlásit. Pověření jsou požadovaných a poskytnutých a potom se zobrazí následující chybová stránka, i když jsou pověření platná:
Nemáte oprávnění k zobrazení této stránky. Nemáte oprávnění k zobrazení tohoto adresáře nebo stránky pomocí zadaná pověření.

Příčina

Pověření jsou platná a můžete využít přístup k stejný systém pomocí služby Windows NT Server pomocí příkazu net use . Rozhraní Wininet však nemusí přidělit dostatečnou vyrovnávací paměť obsahující token Kerberos uživatele. K tomu může dojít, pokud je uživatel členem více než 100 skupin, např.

Řešení

Tento problém se týká Internet Explorer wininet ukládání do vyrovnávací paměti potíže. Chcete-li tento problém vyřešit, použít následující opravu hotfix, Windows 2000 Service Pack 2 (SP2) nebo aktualizace aplikace Internet Explorer a potom nastavte parametr registru MaxTokenSize (popsáno v části "Další informace" tohoto článku) ve všech klientských počítačích.

Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Použití této opravy hotfix pouze u systémů, ve kterých dochází k tomuto konkrétnímu problému.

Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tento oddíl není uveden, odešlete požadavek na Microsoft Zákaznický servis a podporu k získání opravy hotfix.

Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu naleznete na následujícím webu společnosti Microsoft:Poznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk. Anglická verze této opravy má následující atributy souborů nebo novější:
   Date        Time    Version      Size    File name
--------------------------------------------------
10/13/2000 04:35p 5.0.3210.1300 459,536 Wininet.dll


Jak potíže obejít

Snížíte počet skupin, kterých je uživatel členem.

Stav

Společnost Microsoft potvrzuje, že se jedná o problém v systému Microsoft Windows 2000.

Další informace

Další informace o tom, jak nainstalovat systém Windows 2000 a Windows 2000 Hotfix současně klepněte na následující číslo článku databáze Microsoft Knowledge Base:

249149 instalace systému Microsoft Windows 2000 a Windows 2000 hotfix

Poznámka: Oprava hotfix popsaná v části "Řešení" tohoto článku nahrazuje opravu hotfix, původně k dispozici v následujícím článku znalostní báze Microsoft Knowledge Base:
269643 ověřování protokolem Kerberos Internet Explorer nefunguje nedostatečné vyrovnávací paměti připojení ke službě IIS

Upozornění: Při nesprávné úpravě registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.
Tato oprava hotfix obsahuje parametr registru, který umožňuje zvětšit velikost tokenu protokolu Kerberos. Například zvýšení token 65 KB umožní uživateli ve více než 900 skupiny. Z důvodu zabezpečení identifikátor (SID) informace toto číslo se může lišit.

Chcete-li nastavit tento parametr, proveďte následující:
  1. Spusťte Editor registru (Regedt32.exe).
  2. Vyhledejte a klepněte na tlačítko následující nastavení registru:
    System\\CurrentControlSet\\Control\\Lsa\\Kerberos\Parameters
  3. V nabídce Úpravy klepněte na příkaz Přidat hodnotua přidejte následující hodnotu registru:
    Název hodnoty: MaxTokenSize
    Datový typ: REG_DWORD
    Číselná soustava: desítková
    Údaj hodnoty: 65535
  4. Ukončete Editor registru.
Výchozí MaxTokenSize hodnotu 12000 desetinné číslo. Společnost Microsoft doporučuje nastavit tuto hodnotu do 65535 šestnáctkové desítkové, FFFF. Nesprávně nastavíte tuto hodnotu do 65535 šestnáctkové (příliš velké hodnoty) pomocí protokolu Kerberos ověřování operace mohou selhat a programy, bude vrácena chyba.
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

297869 potíží Správce serveru SMS po úpravě Kerberos MaxTokenSize hodnotu registru

Po nastavení hodnoty a počítač je aktualizován, restartujte počítač. Přestože řadiče domény je nutné aktualizovat samostatně, můžete použít nastavení Zásady skupiny nastavit tuto hodnotu pro klientské počítače, které byly také aktualizovány. Musíte nakonfigurovat všechny systémy klientů a serverů v doméně se tato změna registru a aktualizaci systémů Windows 2000 s aktualizací SP2 nebo opravy hotfix.

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

313661 OPRAVA: chybová zpráva: "Vypršel časový limit" dochází při připojení k serveru SQL Server pomocí protokolu TCP/IP a protokol Kerberos MaxTokenSize je větší než 0xFFFF

300367 DCOM klienta může umístit paměti na lince

Další informace o konfiguraci velikost tokenu protokolu Kerberos a podporu v systému Windows 2000 klepněte na následující číslo článku databáze Microsoft Knowledge Base:

263693 Zásady skupiny nemusí být použita k uživatelé patřící mnoho skupin

Kroky pro reprodukci chování

  1. Vytvořte účet systému Windows NT.
  2. Ujistěte se, že je nainstalována služba Active Directory a je nakonfigurováno Integrované ověřování.
  3. Přidáte účet do přibližně 100 různých skupin.
  4. Vytvořte druhý účet a přidat do tří skupin.
Výsledky:
První účet nelze procházet pomocí http://< název_serveru >, ale může druhý účet.
Poznámka: Následující skript pomocí Creategroup.vbs reskit byl použit pro reprodukci problému:
CreateGroup.vbs from the resource kit is a viable method for doing so.
creategroup LDAP: DC=Domain,DC=Org,DC=Company,DC=com GroupName1
CN=administrator,CN=Users,DC=Domain,DC=Org,dc=Company,dc=com password
creategrp.log
...

Vlastnosti

ID článku: 277741 - Poslední kontrola: 12. 1. 2017 - Revize: 1

Váš názor