Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Probleme mit Kerberos-Authentifizierung, wenn ein Benutzer zu sehr vielen Gruppen gehört.

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 327825
Support für Windows Vista Service Pack 1 (SP1) am 12. Juli 2011. Um weiterhin Sicherheitsupdates für Windows zu erhalten, stellen Sie sicher, dass Sie Windows Vista mit Service Pack 2 (SP2) ausführen. Weitere Informationen finden Sie auf dieser Microsoft-Website: Unterstützung endet für einige Versionen von Windows.
Problembeschreibung
Wenn ein Benutzer mehreren Gruppen angehört, kann dieser Benutzer Probleme mit Authentifizierung oder mit Gruppenrichtlinien haben. Die folgenden Artikel der Microsoft Knowledge Base beschrieben Symptome ausführlicher:

269643 Internet Explorer Kerberos Authentifizierung funktioniert nicht wegen eines unzureichenden Puffers mit IIS
280380 Pufferüberlauf mit erweiterten gespeicherten Prozeduren
2020943 "HTTP 400 - Anforderung fehlerhaft (Request Header zu lang)" Fehlermeldung in Internet Information Services (IIS)
Die in diesem Artikel beschriebene Lösung weist MaxTokenSize Registrierungswert ändern. Diese Lösung wurde eine Verbesserung. Verwenden Sie den Hotfix, der in diesem Artikel beschrieben wird, können Sie keinen Standardwert MaxTokenSize bearbeiten.

In diesem Artikel beschriebene Hotfix ersetzt die Hotfixes, die im Microsoft Knowledge Base-Artikeln beschrieben werden, die in diesem Abschnitt aufgeführt sind.
Ursache
Der Benutzer kann nicht authentifiziert, da das Kerberos-Token während Authentifizierungsversuche generiert eine feste maximale Größe hat. Transporte wie Remoteprozeduraufruf (RPC) und HTTP MaxTokenSize-Wert Wenn sie für die Authentifizierung Puffer zuordnen. In Windows 2000 (Originalversion) ist der Wert MaxTokenSize 8.000 Byte. In Windows 2000 Service Pack 2 (SP2) und Windows Server 2003 ist der MaxTokenSize-Wert 12.000 Byte.

Kerberos verwendet Feld (Privilege Attribute Certificate, PAC) des Kerberos-Pakets Transport Active Directory-Gruppenmitgliedschaft. Beginnend mit Windows Server 2012, gilt dies auch für das Active Directory-Ansprüche (Dynamic Access Control) Feld. Gibt es viele Gruppenmitgliedschaften des Benutzers und viele Ansprüche für den Benutzer oder das Gerät, das verwendet wird, können diese Felder viel Platz im Paket belegen.

Ist ein Benutzer Mitglied von mehr als 120 Gruppen ist der Puffer, der den MaxTokenSize-Wert bestimmt nicht groß genug. Daher können sich Benutzer nicht authentifizieren, und sie erhalten die Fehlermeldung "nicht genügend Arbeitsspeicher". Bevor Sie den Hotfix anwenden, der in diesem Artikel beschriebenen erhöht, jeder Gruppe ein Benutzerkonto hinzugefügt wird dieser Puffer 40 Byte.

Hinweis In vielen Szenarios Windows NTLM-Authentifizierung erwartungsgemäß funktioniert. Kerberos-Authentifizierungsproblem ohne Analyse möglicherweise nicht angezeigt. Allerdings können Szenarios in Gruppenrichtlinien angewendet werden nicht erwartungsgemäß.
Lösung
Wichtig Um dieses Problem zu beheben, müssen Sie für alle Computer, die an der Kerberos-Authentifizierung beteiligt sind, den MaxTokenSize-Registrierungswert festlegen. Dies umfasst die SQL Server-Clients. (, Hat der Registrierungsschlüssel auf den einzelnen Computern festgelegt werden, die in der Anforderung/Antwort-Fluss beteiligt ist. Daher ist ein SQL Server-Client eine Anwendung benötigt oder das Zugriffstoken des Benutzers muss zu einer Backend-SQL Server-Datenbank übergeben werden, der Registrierungsschlüssel muss auf dem Clientcomputer SQL Server SQL Server Datenbank-Computer, und auch der Clientcomputer, auf denen Internet Explorer ausgeführt wird, mit Webserver läuft IIS und so weiter.)

Hinweis Die folgenden Windows-Versionen enthalten eine Lösung für dieses Problem:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2;
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Service Pack-Informationen

Um dieses Problem zu beheben, beziehen Sie das neueste Servicepack für Microsoft Windows 2000. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
260910 So erhalten Sie das neueste Servicepack für Windows 2000

Hotfix-Informationen

Ein unterstützter Hotfix ist inzwischen von Microsoft erhältlich. Es soll jedoch nur das Problem beheben, das in diesem Artikel beschrieben wird. Wenden Sie es nur auf Systeme an, bei denen dieses spezielle Problem auftritt. Dieser Hotfix wird möglicherweise noch getestet. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir, auf das nächste Windows 2000 Servicepack warten, das diesen Hotfix enthält.

Wenn dieses Problem sofort beheben möchten, wenden Sie sich an Microsoft Support Services, um den Hotfix zu erhalten. Eine vollständige Liste der Telefonnummern des Microsoft Product Support Services und Informationen zu den Supportkosten finden Sie auf folgender Microsoft-Website:Hinweis In bestimmten Fällen können Gebühren, die normalerweise für Support-Anrufe anfallen abgebrochen werden, wenn ein Microsoft-Supportmitarbeiter feststellt, dass ein bestimmtes Update Ihr Problem behebt. Die normalen Supportkosten gilt für zusätzliche Supportfragen und Probleme, die nicht für das betreffende Update qualifizieren.Die englische Version dieses Hotfixes weist Dateiattribute (oder spätere Attribute), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu finden, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.
Status
Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt "Eigenschaften" aufgeführt sind. Dieses Problem wurde erstmals in Microsoft Windows 2000 Service Pack 4 behoben.
Weitere Informationen

Berechnung der Token-Größe von Windows 2000 auf Windows Server 2008 R2

Wenn Sie den Hotfix, der in diesem Artikel beschrieben wird, verwenden, müssen Sie in den meisten Fällen nicht den MaxTokenSize Registrierungswert ändern. Es gibt jedoch einige Szenarien, in dem MaxTokenSize Registrierungswert ändern, nachdem Sie diesen Hotfix anwenden. Nach Installation dieses auf allen Domänencontrollern Hotfixes verwenden Sie folgende Formel, um festzustellen, ob Sie den MaxTokenSize-Wert ändern müssen:
TokenSize = 1200 + 40d + 8s
Diese Formel verwendet die folgenden Werte:
  • d: die Anzahl der Gruppen der lokalen Domäne ist ein Benutzer Mitglied plus Anzahl universeller Gruppen außerhalb der Domäne des Benutzerkontos, das der Benutzer ein Element plus die Anzahl der Gruppen dargestellt Sicherheits-ID (SID) Verlauf.
  • s: die Anzahl der globalen Sicherheitsgruppen, denen ein Benutzer angehört plus der Anzahl der universellen Gruppen in einer Domäne des Benutzerkontos, das der Benutzer angehört.
  • 1200: Schätzwert für Ticket Gemeinkosten. Dieser Wert kann je nach Länge des DNS-Domäne, Clientnamen und anderen Faktoren variieren.
In Szenarios in denen Delegierung verwendet wird (z. B. wenn der Benutzer auf einen anderen Domänencontroller authentifiziert) wird empfohlen, die token-Größe verdoppelt.

Wann sollte der Registry-Eintrag gesetzt werden

Wenn die token-Größe, die Sie mit dieser Formel berechnen, kleiner als 12.000 Byte (Standardgröße) ist, müssen Sie den MaxTokenSize-Registrierungswert auf Domänenclients nicht ändern. Wenn der Wert größer als 12.000 Byte ist, finden Sie unter den folgenden Microsoft Knowledge Base-Artikel eine Beschreibung, wie Sie den MaxTokenSize Registrierungswert anpassen:

263693 Gruppenrichtlinien kann Benutzer mehreren Gruppen nicht zugewiesen werden

Hinweise
  • Wenn Sie den MaxTokenSize-Wert ändern, müssen Sie den Computer neu starten, damit die Änderung wirksam wird.
Der empfohlene Wert für den Registrierungseintrag MaxTokenSize ist 65535 dezimal oder hexadezimal FFFF. MaxTokenSize-Wert gibt ein fester Kerberos-Ticket empfangen Puffer mit SIDs, die Gruppen, denen das Konto angehört, darstellen.

Um eine sichere Größe verwenden, können Sie für 48000MaxTokenSize festzulegen, nach der Diskussion über eine Beschränkung von HTTP-Header-Größe in diesem Artikel eingeführt. Je nachdem, welchen Wert Sie verwenden zuerst ein Problem mit Kerberos Fehlerereignisse oder IIS HTTP 400-Fehler auftreten.

Bekannte Probleme, die auftreten können

Bekannte Probleme bei der Zugriffstoken Größe:

Der lokalen Sicherheitsautorität (LSA) Dienst generiert die Zugriffstoken aus dieser SID-Puffer. Hartcodierte Begrenzung des Kunden definierbare SIDs für dieses Token 1.015 ist diesem KB-Artikel:
328889 Benutzer Mitglieder der Gruppen mehr als 1015 fehlschlagen Anmeldeauthentifizierung
http://support.Microsoft.com/kb/328889/en-US

Daher ist ein MaxTokenSize-Wert für mehr als 1015 effektive SIDs nicht sinnvoll. In der folgenden Formel:
MaxTokenSize = 1200 + 40 d + 8 s
40d bedeutet, dass Sie 40 Byte für eine Domäne lokale Gruppe SID. 8 s bedeutet 8 Byte für eine Domäne Global-universelle Gruppe SID.

Daher haben Sie den MaxTokenSize-Wert 0x0000FFFF (64 KB) zu etwa 1600 Domäne lokale Gruppen-SIDs oder etwa 8000 Domäne Global Universal Group SIDs möglicherweise. Verwenden Sie "für Delegierungszwecke vertraut" Konten, kann die Anforderung Puffer für jede SID verdoppelt. In diesen Szenarien können Sie nur speichern 800 Domäne lokale Gruppen-SIDs MaxTokenSize-Wert 64 KB wird. Jedoch müssen nur Gruppe SIDs der lokalen Domäne nicht normalerweise. Ein Wert von 64 KB sollte auch für Delegierung ausreichen.

Bekannte ProblemeWenn Sie Werte von MaxTokenSize größer als 65535

Frühere Versionen dieses Artikels erläutert Werte bis zu 100000 Byte für MaxTokenSize. Wir haben festgestellt, dass Versionen von SMS Administrator Probleme bei MaxTokenSize 100000 oder größer. Wir haben auch festgestellt, IPSEC-IKE-Protokoll lässt keine Sicherheit BLOB zu 66536 Bytes größer, und es würde auch wenn MaxTokenSize auf einen größeren Wert festgelegt ist.

Bekannte Probleme in Internet Information Server HTTP-Empfangspuffer

Internet Information Server (IIS) verwendet eine geringere Anforderung Puffergröße um einen Denial of Service-Angriffen von 64 KB zu verringern. Ein Kerberos-Ticket in einer HTTP-Anforderung wird jedoch als Base64 codiert (sechs Bits erweitert acht Bits). Darüber hinaus und das Kerberos-Ticket 133 Prozent seiner ursprünglichen Größe. Daher wird die maximale Puffergröße 64 KB in IIS, 48 KB ein Kerberos-Ticket dienen.

Wenn MaxTokenSize Registrierungseintrag auf einen Wert größer als 48000 festgelegt und Pufferplatz für SIDs verwendet wird, kann IIS-Fehler auftreten. Wenn Sie den Registrierungseintrag MaxTokenSize 48000 festlegen, kann ein Kerberos-Fehler auftreten.

Weitere Informationen zu IIS Puffergrößen klicken Sie auf die folgenden Artikelnummern klicken, um die Artikel der Microsoft Knowledge Base:
310156 Die Größe der HTTP-Übertragung zu beschränken, die von einem Client unter Windows 2000 IIS akzeptiert

920862 Fehlermeldung, wenn ein Benutzer Outlook Web Access auf ein Postfach in Exchange Server 2003 versucht: "HTTP 400 Bad Request (Anfrage-Header zu lang)"

Windows Server 2012 ändern

Windows Server 2012 vorgestellt Hinweise dieses Puffers folgt geändert:
  • Die Standardeinstellung für MaxTokenSize ändert 48.000 Bytes.
  • Es wird ein neues Schema für die Komprimierung von sids im PAC
  • Dynamische Zugriffskontrolle fügt Active Directory Ansprüche des Tickets. Deshalb erwartet Ticket Größen berechnen nicht mehr einfach. Erwartung ist Domänencontroller Windows Server 2012 erteilt Tickets kleiner als die gleichen Tickets, die von älteren Betriebssystemversionen ausgegeben werden. Ansprüche hinzufügen auf dem Ticket. Nachdem Dateiserver Windows Server 2012 Ansprüche Allgemein verwenden, erwarten Sie zahlreiche Gruppen auslaufen, die Ticket-Größe zuschneiden Zugriff steuern.

Weitere Informationen zu Windows Server 2012 Änderungen finden Sie auf der folgenden Microsoft TechNet-Website:

Beispiele für Probleme bei die Ticketgröße überschritten

Klicken Sie für weitere Informationen auf die folgenden Artikelnummer, um die betreffende Artikel in der Microsoft Knowledge Base anzuzeigen:
277741 Internet Explorer-Anmeldung schlägt wegen eines unzureichenden Puffers für Kerberos
313661 Fehlermeldung: "Zeitlimit überschritten" tritt ein, wenn Sie eine Verbindung mit SQL Server über TCP/IP Kerberos MaxTokenSize größer als 0xFFFF

Da Sie domänenübergreifende Anmeldung Szenarien in der Gesamtstruktur haben, sollte der Wert Gesamtstruktur auf allen Windows-Systemen festgelegt. Wir empfehlen daher, der maximale Wert für den MaxTokenSize-Wert 64 KB sein.

Wichtig Auf SQL Server-Clients erhalten Sie folgende Fehlermeldung, wenn dieses Problem auftritt:
SSPI-Kontext kann nicht generiert werden.
Um dieses Problem zu beheben, müssen Sie für alle Computer, die an der Kerberos-Authentifizierung beteiligt sind, den MaxTokenSize-Registrierungswert festlegen. Dies umfasst die SQL Server-Clients.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 327825 – Letzte Überarbeitung: 06/11/2016 04:20:00 – Revision: 9.0

Microsoft Windows XP Professional, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, , , , , , , Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition, , , , , ,

  • kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtde
Feedback
y>/html>> ttps://c1.microsoft.com/c.gif?DI=4050&did=1&t=">1&t=">body>ody>