Internet Explorer-Anmeldung schlägt wegen eines unzureichenden Puffers für Kerberos

Wichtig Dieser Artikel enthält Informationen dazu, wie Sie die Registrierung ändern. Müssen Sie die Registrierung sichern, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Für weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
256986 Beschreibung der Microsoft Windows-Registrierung

Problembeschreibung

Bei der Verbindung zu einem Internet Information Server (IIS) Server für Windows 2000-Authentifizierung konfiguriert wird dem Benutzer das Dialogfeld Netzwerkkennwort eingeben angezeigt. Der Benutzer versucht, anmelden. Die Anmeldeinformationen werden angefordert und bereitgestellt und dann die folgenden Fehler angezeigt wird, auch wenn die Anmeldeinformationen gültig sind:
Nicht sind berechtigt, diese Seite anzuzeigen. Sie haben keine Berechtigung zum Anzeigen dieses Verzeichnis bzw. diese Seite eingegebene.

Ursache

Die Anmeldeinformationen sind gültig und können verwendet werden, um Windows NT Server-Dienst mithilfe des Befehls net Use desselben Systems zugreifen. Wininet möglicherweise jedoch einen ausreichenden Puffer mit dem Kerberos-Token des Benutzers zuweisen. Dies kann auftreten, wenn der Benutzer beispielsweise Mitglied von mehr als 100 Gruppen ist.

Problemlösung

Dieses Problem betrifft eine Internet Explorer-Wininet Pufferung Problem. Um dieses Problem zu beheben, wenden Sie folgenden Hotfix, Windows 2000 Service Pack 2 (SP2) oder Internet Explorer-Update, und legen Sie den MaxTokenSize -Registrierungsparameter (im Abschnitt "Weitere Informationen" dieses Artikels beschrieben) auf allen Clientcomputern.

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Verwenden Sie diesen Hotfix nur auf Systemen, bei denen dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, senden Sie eine Anforderung an Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder eine separate Serviceanfrage erstellen finden Sie auf der folgenden Microsoft-Website:Hinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar. Die englische Version dieses Updates sollte die folgenden Dateiattribute haben oder höher:
   Date        Time    Version      Size    File name
--------------------------------------------------
10/13/2000 04:35p 5.0.3210.1300 459,536 Wininet.dll


PROBLEMUMGEHUNG

Reduzieren Sie die Anzahl der Gruppen, denen der Benutzer angehört.

Status

Microsoft hat bestätigt, dass dies ein Problem in Microsoft Windows 2000.

Weitere Informationen

Weitere Informationen zu Windows 2000 und Windows 2000-Hotfixes gleichzeitig installieren klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

Installieren von Microsoft Windows 2000 und Windows 2000-Hotfixes 249149

Hinweis Im Abschnitt "Lösung" dieses Artikels beschriebene Update ersetzt das Update, das im folgenden Artikel der Microsoft Knowledge Base:
269643 Internet Explorer Kerberos Authentifizierung funktioniert nicht wegen eines unzureichenden Puffers mit IIS

Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung nicht ordnungsgemäß mit dem Registrierungseditor oder mithilfe einer anderen Methode ändern. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Ändern Sie die Registrierung auf eigene Gefahr.
Dieser Hotfix enthält einen Registrierungsparameter, mit denen Sie die Größe des Kerberos-Tokens erhöhen können. Erhöhung der Token auf 65 KB können z. B. einen Benutzer Mitglied in mehr als 900 Gruppen zu. Aufgrund der zugeordneten Sicherheits-ID (SID) Informationen kann diese Zahl variieren.

Führen Sie die folgenden, um diese Parameter festgelegt:
  1. Starten Sie Registrierungseditor (Regedt32.exe).
  2. Suchen Sie und klicken Sie auf den folgenden Registrierungsschlüssel:
    System\\CurrentControlSet\\Control\\Lsa\\Kerberos\Parameters
  3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügenund fügen Sie den folgenden Registrierungswert hinzu:
    Wertname: MaxTokenSize
    Datentyp: REG_DWORD
    Basis: Dezimal
    Wert: 65535
  4. Beenden Sie den Registrierungseditor.
Der Standardwert für MaxTokenSize ist 12000 decimal. Microsoft empfiehlt, diesen Wert auf 65535 dezimal FFFF hexadezimal festgelegt. Wenn dieser Wert nicht korrekt festgelegt auf 65535 hexadezimal (ein extrem hoher Wert) Kerberos-Authentifizierungsvorgänge fehlschlagen und Programme Fehlermeldungen.
Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

297869 SMS Administrator-Probleme nach ändern den Kerberos MaxTokenSize Registrierungswert

Legen Sie den Wert, und der Computer aktualisiert wird, starten Sie den Computer. Obwohl die Domänencontroller einzeln aktualisiert werden muss, können Gruppenrichtlinien Sie diesen Wert für Client-Computer festlegen, die ebenfalls aktualisiert. Konfigurieren alle Client-Systeme und Server in der Domäne mit dieser Änderung der Registrierung, und Systeme mit Windows 2000 SP2 oder Updates aktualisieren.

Klicken Sie für weitere Informationen auf die folgenden Artikelnummern, um die betreffenden Artikel in der Microsoft Knowledge Base anzuzeigen:

313661 UPDATE: Fehlermeldung: "Zeitlimit überschritten" tritt ein, wenn Sie eine Verbindung mit SQL Server über TCP/IP Kerberos MaxTokenSize größer als 0xFFFF

300367 DCOM-Client kann Speicher in dem Draht versetzen

Mehr zur Konfiguration der Kerberos-token-Größe und -Unterstützung in Windows 2000 finden Sie im folgenden Artikel der Microsoft Knowledge Base:

263693 von Gruppenrichtlinien möglicherweise nicht auf Benutzer mehreren Gruppen angewendet werden

Schritte zum Reproduzieren des Verhaltens

  1. Erstellen Sie ein Windows NT-Konto.
  2. Stellen Sie sicher, dass Active Directory installiert und die integrierte Authentifizierung konfiguriert ist.
  3. Fügen Sie das Konto um etwa 100 verschiedenen Gruppen.
  4. Erstellen Sie ein zweites Konto und drei Gruppen hinzufügen.
Ergebnisse:
Das erste Konto kann nicht über http://< Servername >durchsuchen, aber das zweite Konto kann.
Hinweis Das folgende Skript mit Creategroup.vbs aus dem Resource diente zum Reproduzieren des Problems:
CreateGroup.vbs from the resource kit is a viable method for doing so.
creategroup LDAP: DC=Domain,DC=Org,DC=Company,DC=com GroupName1
CN=administrator,CN=Users,DC=Domain,DC=Org,dc=Company,dc=com password
creategrp.log
...

Eigenschaften

Artikelnummer: 277741 – Letzte Überarbeitung: 10.01.2017 – Revision: 1

Feedback