Internet Explorer-Anmeldung schlägt wegen eines unzureichenden Puffers für Kerberos

Dieser Artikel wurde zuvor veröffentlicht unter D277741
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 277741
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Wichtig Dieser Artikel enthält Informationen zum Ändern der Registrierung. Stellen Sie sicher, dass die Registrierung sichern, bevor Sie es ändern. Stellen Sie sicher, dass Sie wissen, wie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern, wiederherstellen und Bearbeiten der Registrierung finden Sie die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
256986 Beschreibung der Microsoft Windows-Registrierung
Problembeschreibung
Während des Aufbaus einer Verbindung zu einer Internet-Informationen Server (IIS)-Server für Windows 2000-Authentifizierung konfiguriert ist, der Benutzer Das Dialogfeld Netzwerkkennwort eingeben angezeigt. Der Benutzer versucht, sich anzumelden. Die Anmeldeinformationen sind angefordert und angegeben, und dann die folgenden Fehlerseite angezeigt werden, sogar Wenn die Anmeldeinformationen gültig sind:
Sie sind nicht berechtigt zum Anzeigen dieser Seite. Sie haben keine Berechtigung, dieses Verzeichnis bzw. diese Seite anzeigen Mithilfe der Anmeldeinformationen, die Sie angegeben.
Ursache
Die Anmeldeinformationen sind ungültig und können verwendet werden, zum Zugriff auf die demselben System über den Windows NT Server-Dienst mithilfe des Befehls net Use . Wininet kann jedoch fehlschlagen, einer ausreichenden reservieren Puffer für die Kerberos-Token des Benutzers enthält. Dies kann auftreten, wenn der Benutzer ist Mitglied von mehr als 100 Gruppen, z. B..
Lösung
Dieses Problem betrifft eine Internet Explorer wininet Problem der Pufferung. Um dieses Problem zu beheben, wenden Sie entweder folgenden Hotfix, Windows 2000 Service Pack 2 (SP2) oder ein Update für Internet Explorer, und legen Sie dann den MaxTokenSize -Registrierungsparameter (wird im Abschnitt "Weitere Informationen" beschrieben. in diesem Artikel) auf allen Clientcomputern.

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix behebt jedoch nur das Problem, welches in diesem Artikel beschrieben wird. Wenden Sie diesen Hotfix nur auf Systeme an, bei denen dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download zur Verfügung steht, wird es im oberen Bereich dieses Artikels einen Link "Hotfix donwload" geben. Wenn in diesem Abschnitt nicht angezeigt wird, senden Sie eine Anforderung an Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die üblichen Support-Kosten gelten für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der Microsoft-Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen finden Sie auf der folgenden Microsoft-Website: Hinweis Das Formular "Hotfixdownload available" zeigt die Sprachen an, in denen der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, liegt es daran, dass kein Hotfix für diese Sprache verfügbar ist. Die englische version Dieses Update sollte die folgenden Dateiattribute haben oder höher:
   Date        Time    Version      Size    File name   --------------------------------------------------   10/13/2000  04:35p 5.0.3210.1300 459,536 Wininet.dll				
Abhilfe
Reduzieren Sie die Anzahl der Gruppen, denen der Benutzer angehört.
Status
Microsoft hat bestätigt, dass dies ein Problem in Microsoft Windows 2000.
Weitere Informationen
Weitere Informationen zum Installieren von Windows 2000 und Windows 2000-Hotfixes gleichzeitig, klicken Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
249149Installieren von Microsoft Windows 2000 und Windows 2000-hotfixes
Hinweis Die im Abschnitt "Lösung" dieses Artikels beschriebenen hotfix ersetzt das Update, das in der folgenden Microsoft Knowledge Base-Artikel:
269643 Internet Explorer Kerberos Authentifizierung funktioniert nicht wegen eines unzureichenden Puffers Herstellen einer Verbindung mit IIS
Warnung Wenn Sie die Registrierung falsch mithilfe des Registrierungs-Editors oder mithilfe einer anderen Methode ändern, können schwerwiegende Probleme auftreten. Diese Probleme erfordern möglicherweise eine Neuinstallation des Betriebssystems. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigene Gefahr.
Dieser Hotfix ist ein Registrierungsparameter, die Sie können die Größe des Kerberos-Tokens erhöhen. Zum Beispiel erhöhen die Token 65 KB ermöglicht einen Benutzer in mehr als 900 Gruppen vorhanden sein. Aufgrund der zugeordneten Sicherheitsinformationen ID (SID), diese Zahl kann variieren.

Führen Sie die folgenden, um diesen Registrierungsparameter festzulegen:
  1. Starten Sie den Registrierungs-Editor (Regedt32.exe).
  2. Suchen Sie, und klicken Sie auf die folgende Registrierungseinstellung:
    System\\CurrentControlSet\\Control\\Lsa\\Kerberos\Parameters
  3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie den folgenden Registrierungswert hinzu:
    Wertname: MaxTokenSize
    Datentyp: REG_DWORD
    Basis: Dezimal
    Wertdaten: 65535
  4. Beenden Sie den Registrierungseditor.
Der Standardwert für MaxTokenSize ist 12000 decimal. Microsoft empfiehlt, dass Sie diesen Wert zu setzen 65535 Decimal, FFFF Hexadezimal. Wenn Sie diesen Wert auf 65535 falsch festlegen Hexadezimal (ein extrem hoher Wert) können Sie die Kerberos-Authentifizierungsvorgänge fehlschlagen und Programme geben Fehler zurück. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
297869SMS-Administrator Probleme nach dem Ändern des Kerberos MaxTokenSize Registrierungswerts
Nachdem Sie den Wert festlegen und der Computer ist aktualisiert, den Computer neu starten. Zwar müssen Sie die Domänencontroller aktualisieren einzeln, können Gruppenrichtlinieneinstellungen Sie diesen Wert für den Client festgelegt Computer, die ebenfalls aktualisiert wurden. Sie müssen alle Clientsysteme konfigurieren. und Servern in der Domäne mit dieser Änderung der Registrierung und Aktualisierung der Systeme mit Windows 2000 SP2 oder Hotfixes.

Weitere Informationen klicken Sie auf die folgenden Artikelnummern klicken, um die Artikel der Microsoft Knowledge Base:
313661Update: Fehlermeldung: "Zeitüberschreitung" tritt auf, wenn Sie eine mit SQL Server über TCP/IP Verbindung und das Kerberos MaxTokenSize größer als 0xFFFF ist
300367 DCOM-Client kann Speicher in dem Draht versetzen.
Weitere Informationen über die Konfiguration der Kerberos-token-Größe und Unterstützung in Windows 2000 klicken Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
263693Gruppenrichtlinien kann für Benutzer, die vielen Gruppen angehören nicht angewendet werden

Schritte zum Reproduzieren des Verhaltens

  1. Erstellen Sie ein Windows NT-Konto.
  2. Stellen Sie sicher, dass Active Directory installiert und integriert ist Authentifizierung konfiguriert ist.
  3. Fügen Sie das Konto auf etwa 100 verschiedenen Gruppen.
  4. Erstellen Sie ein zweites Konto und drei Hinzufügen der Gruppen.
Ergebnisse:
Das erste Konto kann nicht durchsucht werden über http://<servername></servername>, aber das zweite Konto kann.
Hinweis Das folgende Skript Creategroup.vbs aus dem Resource Kit verwendet wurde. verwendet, um das Problem zu reproduzieren:
CreateGroup.vbs from the resource kit is a viable method for doing so.creategroup LDAP: DC=Domain,DC=Org,DC=Company,DC=com GroupName1CN=administrator,CN=Users,DC=Domain,DC=Org,dc=Company,dc=com passwordcreategrp.log...					

Eigenschaften

Artikelnummer: 277741 – Letzte Überarbeitung: 12/05/2015 22:27:55 – Revision: 7.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive kbautohotfix kbhotfixserver kbbug kbfix kbqfe kbmt KB277741 KbMtde
Feedback