"HTTP 400 - Anforderung fehlerhaft (Request Header zu lang)" Fehlermeldung in Internet Information Services (IIS)

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 2020943
Problembeschreibung

Domänenbenutzer versucht auf einer Website gehosteten Internet Information Services (IIS) 6.0 oder höher mit Internet Explorer 6.0 oder höher.  Die Website konfiguriert die Kerberos-Authentifizierung verwenden.  Statt der erwarteten Webseite empfangen, wird dem Benutzer eine Fehlermeldung ähnlich der folgenden angezeigt:

HTTP 400 - Ungültige Anforderung (Anfrage-Header zu lang)

Ursache

Dieses Problem kann auftreten, wenn der Benutzer zu viele Active Directory-Benutzergruppen gehört. Wenn ein Benutzer Mitglied einer großen Anzahl von active Directory wird Kerberos Authentication Token für Benutzer nimmt die Größe gruppiert. Die HTTP-Anforderung, die der Benutzer mit dem IIS-Server sendet das Kerberos-Token im WWW Authenticate-Header enthält, wächst die Größe der Kopfzeile steigt die Anzahl der Gruppen.  Steigt die HTTP-Header oder Paketgröße über Grenzwerte in IIS konfiguriert, kann IIS die Anforderung abzulehnen und dieser Fehler als Antwort senden.

Lösung

Um dieses Problem zu umgehen, wählen Sie eine der folgenden Optionen:

A) verringern Sie die Anzahl der Active Directory-Gruppen, denen der Benutzer angehört.

ODER

B) ändern Sie die MaxFieldLength und die Registrierungseinträge "MaxRequestBytes" auf dem IIS-Server also Anforderungsheader für den Benutzer nicht zu lang sind.  Einstellung der MaxFieldLength und Registrierungseinträge MaxRequestBytes bestimmen mithilfe der folgenden Berechnung:

    1. Berechnen Sie die Größe des Kerberos-Token des Benutzers mithilfe der im folgenden Artikel beschriebenen Formel:

      Neue Lösung für Probleme mit Kerberos-Authentifizierung, wenn Benutzer mehreren Gruppen angehören
      http://support.microsoft.com/kb/327825


    2. Konfigurieren der MaxFieldLength und Registrierungsschlüssel "MaxRequestBytes" auf dem IIS-Server mit dem Wert4/3 * T, wobei T der Benutzer-token-Größe in Bytes. HTTP das Kerberos-Token mit base64-Codierung codiert und daher ersetzt alle 3 Bytes im Token mit 4 base64-codierte Bytes.  Änderungen in der Registrierung werden nicht wirksam, bis den HTTP-Dienst neu starten. Außerdem müssen alle zugehörigen IIS-Dienste neu starten.

Hinweis: Je nach Ihrer Umgebung auch sollten Sie konfigurieren die Website NTLM statt Kerberos verwenden, um dieses Problem zu umgehen.  Einige Umgebungen benötigen Kerberos Delegation Zwecken verwendet werden und Kerberos ist sicherer als NTLM, daher wird empfohlen, nicht Kerberos deaktivieren bevor Sie sich mit der Sicherheit und Delegierung folgen tun.


Weitere Informationen

Der Registrierungseintrag MaxFieldLength ist standardmäßig nicht vorhanden. Dieser Registrierungseintrag gibt die maximal zulässige Größe der einzelnen HTTP-Anforderungsheader an. Der Registrierungseintrag MaxRequestBytes gibt die obere Grenze der Gesamtgröße der Anforderungszeile und der Header. Dieser Registrierungseintrag wird normalerweise zusammen mit der Registrierungseintrag MaxRequestBytes konfiguriert. Ist der MaxRequestBytes kleiner als der Wert für "MaxFieldLength", wird die MaxFieldLength angepasst.  In großen Active Directory-Umgebung können Benutzer Fehler auftreten, wenn die Werte für diese Einträge kein ausreichend hoher Wert festgelegt sind.

Für Internet Information Services (IIS) 6.0 und höher, befinden die Registrierungsschlüssel "MaxFieldLength" und "MaxRequestBytes" sich amHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters.  Konfigurieren sie, wie in der folgenden Tabelle dargestellt:

Name

Werttyp

Wert

MaxFieldLength

DWORD

(4/3 * T Bytes) + 200

MaxRequestBytes

DWORD

(4/3 * T Bytes) + 200

Alternativ kann der Registrierungsschlüssel auf den maximalen Wert unten festgelegt werden. Administrator sollten alle potenziellen Sicherheit folgen, wenn er die Registrierungseinträge Änderungen macht:

 

Name

Werttyp

Wert

MaxFieldLength

DWORD

65534

MaxRequestBytes

DWORD

16777216

Wichtig: Diese Registrierungsschlüssel ändern kann gefährlich angesehen werden. Diese Schlüssel können größere HTTP-Pakete an IIS die möglicherweise "http.sys" mehr Speicher und Anfälligkeit für böswillige Angriffe erhöhen.

Hinweis: Wenn MaxFieldLength konfiguriert den maximalen Wert von 64KB, MaxTokenSize Registrierungswert fest auf 3/4 * 64 = 48 KB.  Weitere Informationen zu den MaxTokenSize-Einstellung finden Sie unter der Microsoft Knowledge Base unter KB327825 aufgeführt.

Weitere Informationen zu den in diesem Artikel behandelten Themen finden an folgenden Orten:

HTTP-Registrierungseinträgen für IIS
http://support.Microsoft.com/kb/820129/en-US

Fehler beim Anmelden HTTP-API
http://support.Microsoft.com/?ID=820729

Neue Lösung für Probleme mit Kerberos-Authentifizierung, wenn Benutzer mehreren Gruppen angehören
http://support.Microsoft.com/kb/327825

Fehlermeldung, wenn ein Benutzer Outlook Web Access auf ein Postfach in Exchange Server 2003 zuzugreifen versucht
http://support.Microsoft.com/kb/920862

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 2020943 – Letzte Überarbeitung: 11/03/2015 01:53:00 – Revision: 2.0

Microsoft Internet Information Services 10.0, Microsoft Internet Information Services 8.5, Microsoft Internet Information Services 8.0, Microsoft Internet Information Services 7.5, Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 6.0

  • kbmt KB2020943 KbMtde
Feedback