Galat "HTTP 400 - buruk (permintaan Header permintaan terlalu panjang)" di layanan informasi Internet (IIS)

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 2020943
GEJALA

Pengguna domain upaya untuk menelusuri situs web host pada layanan informasi Internet (IIS) 6.0 atau lebih tinggi dengan menggunakan Internet Explorer 6.0 atau yang lebih baru.  Situs web dikonfigurasi untuk menggunakan otentikasi Kerberos.  Menerima halaman web yang diharapkan, pengguna disajikan dengan pesan galat yang mirip berikut ini:

HTTP 400 - Pemintaan (header permintaan terlalu panjang)

PENYEBAB

Masalah ini dapat terjadi ketika pengguna adalah anggota kelompok pengguna direktori aktif. Saat pengguna yang merupakan anggota dari sejumlah besar direktori aktif kelompok token otentikasi Kerberos untuk meningkatkan pengguna dalam ukuran. Permintaan HTTP yang mengirim pengguna ke IIS server berisi token Kerberos di kop autentikasi WWW, dan ukuran header meningkat sebagai jumlah kelompok naik.  Jika kop HTTP atau ukuran paket meningkat melewati batas yang dikonfigurasi di IIS, IIS dapat menolak permintaan dan mengirim galat ini sebagai respons.

PEMECAHAN MASALAH

Untuk mengatasi masalah ini, pilih salah satu dari opsi berikut:

A) mengurangi jumlah kelompok Active Directory yang pengguna.

OR

B) memodifikasi MaxFieldLength dan pengaturan registri MaxRequestBytes pada IIS server sehingga header permintaan pengguna tidak dianggap terlalu panjang.  Untuk menentukan pengaturan yang sesuai untuk MaxFieldLength dan entri registri MaxRequestBytes, gunakan perhitungan berikut ini:

    1. Menghitung ukuran token Kerberos pengguna menggunakan formula yang dijelaskan dalam artikel berikut ini:

      Otentikasi baru penyelesaian untuk masalah dengan Kerberos saat milik pengguna kelompok
      http://support.microsoft.com/kb/327825


    2. Mengkonfigurasi MaxFieldLength dan kunci registri MaxRequestBytes pada IIS server dengan nilai4 3 * T, di mana T adalah ukuran token pengguna, dalam byte. HTTP menyandikan token Kerberos menggunakan pengkodean base64 dan oleh karena itu mengganti setiap 3 byte dalam token dengan 4 base64 disandikan byte.  Perubahan yang dibuat ke registri tidak akan berlaku hingga Anda me-restart layanan HTTP. Selain itu, Anda mungkin harus memulai ulang layanan IIS apa pun terkait.

Catatan: Tergantung pada lingkungan aplikasi Anda, Anda juga dapat mempertimbangkan mengkonfigurasi situs web menggunakan NTLM bukannya Kerberos untuk mengatasi masalah ini.  Beberapa aplikasi lingkungan memerlukan Kerberos digunakan untuk tujuan delegasi, dan Kerberos lebih aman daripada NTLM, sehingga disarankan bahwa Anda tidak menonaktifkan Kerberos sebelum mempertimbangkan keamanan dan delegasi kesulitan untuk melakukannya.


INFORMASI LEBIH LANJUT

Secara asali, entri registri MaxFieldLength tidak ada. Entri registri ini menetapkan batas ukuran maksimum setiap permintaan HTTP header. Entri registri MaxRequestBytes menetapkan batas atas ukuran total baris permintaan dan header. Biasanya, entri registri ini dikonfigurasi dengan entri registri MaxRequestBytes. Jika nilai MaxRequestBytes lebih rendah dari nilai MaxFieldLength, nilai MaxFieldLength disesuaikan.  Di lingkungan direktori aktif yang besar, pengguna mungkin mengalami kegagalan logon jika nilai untuk kedua entri tersebut tidak ditetapkan ke nilai yang cukup tinggi.

Untuk Internet Information Services (IIS) 6.0 dan lebih baru, kunci registri MaxFieldLength dan MaxRequestBytes berada diHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters.  Mengkonfigurasi mereka seperti yang ditunjukkan pada tabel berikut ini:

Nama

Jenis nilai

Data nilai

MaxFieldLength

DWORD

(4 3 * T byte) + 200

MaxRequestBytes

DWORD

(4 3 * T byte) + 200

Atau Anda dapat mengatur kunci registri ke nilai maksimum yang ditunjukkan di bawah ini. Administrator harus mempertimbangkan semua dampak keamanan yang potensial jika ia membuat perubahan ke tataan registri:

 

Nama

Jenis nilai

Data nilai

MaxFieldLength

DWORD

65534

MaxRequestBytes

DWORD

16777216

PENTING: Mengubah kunci registri ini dapat dianggap sangat berbahaya. Kunci ini memungkinkan HTTP paket yang lebih besar untuk dikirim ke IIS yang bergantian dapat menyebabkan Http.sys menggunakan lebih banyak memori dan dapat meningkatkan kerentanan terhadap serangan berbahaya.

Catatan: Jika MaxFieldLength diatur ke nilai maksimum 64KB, maka nilai registri MaxTokenSize harus disetel ke 3 4 * 64 = 48 KB.  Untuk informasi lebih lanjut tentang pengaturan MaxTokenSize, baca artikel Pangkalan Pengetahuan Microsoft KB327825 tercantum di bawah ini.

Informasi selengkapnya tentang topik yang dibahas dalam artikel ini dapat ditemukan di lokasi berikut ini:

Tataan registri http.sys untuk IIS
http://support.Microsoft.com/kb/820129/en-US

Galat saat masuk HTTP API
http://support.Microsoft.com/?id=820729

Baru penyelesaian untuk masalah dengan otentikasi Kerberos saat milik pengguna kelompok
http://support.Microsoft.com/kb/327825

Pesan galat saat pengguna Outlook Web Access mencoba mengakses kotak surat di Exchange Server 2003
http://support.Microsoft.com/kb/920862

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Tulajdonságok

Cikkazonosító: 2020943 - Utolsó ellenőrzés: 11/03/2015 01:54:00 - Verziószám: 2.0

Microsoft Internet Information Services 10.0, Microsoft Internet Information Services 8.5, Microsoft Internet Information Services 8.0, Microsoft Internet Information Services 7.5, Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 6.0

  • kbmt KB2020943 KbMtid
Visszajelzés