Problemas, susijusias su Kerberos autentifikavimo kai vartotojas priklauso daugelis grupių

Nutrauktas „Windows XP“ palaikymas

Nuo 2014 m. balandžio 8 d. „Microsoft“ nutraukė „Windows XP“ palaikymą. Tai paveikė programinės įrangos naujinimus ir saugą. Sužinokite, ką tai reiškia jums ir kaip užtikrinti kompiuterio saugą.

2015 m. liepos 14 d. buvo nutrauktas „Windows Server 2003“ palaikymas

2015 m. liepos 14 d. „Microsoft“ nutraukė „Windows Server 2003“ palaikymą. Tai paveikė programinės įrangos naujinimus ir saugą. Sužinokite, ką tai reiškia jums ir kaip užtikrinti kompiuterio saugą.

SVARBU: šis straipsnis išverstas naudojant „Microsoft“ mašininio vertimo programinę įrangą ir gali būti pataisytas naudojant „Community Translation Framework“ (CTF) technologiją. „Microsoft“ siūlo mašinos išverstus ir po to bendruomenės suredaguotus straipsnius, taip pat žmogaus išverstus straipsnius siekdama suteikti prieigą prie visų savo žinių bazės straipsnių daugeliu kalbų. Mašinos išverstuose ir vėliau paredaguotuose straipsniuose gali būti žodyno, sintaksės ir / arba gramatikos klaidų. „Microsoft“ neatsako už jokius netikslumus, klaidas arba žalą, patirtą dėl neteisingo turinio vertimo arba mūsų klientų naudojimosi juo. Daugiau apie CTF žr. http://support.microsoft.com/gp/machine-translation-corrections.

Spustelėkite čia, norėdami pamatyti šio straipsnio versiją anglų kalba: 327825
Parama Windows Vista Service Pack 1 (SP1) baigiasi liepos 12, 2011. Toliau gauti saugumo atnaujinimus Windows, įsitikinkite, kad jūsų kompiuteryje veikia Windows Vista su 2 pakeitimų paketu (SP2). Daugiau informacijos, ieškokite šioje Microsoft svetainėje: Kai kurios Windows versijos nutraukiamas palaikymas.
Požymiai
Jeigu vartotojas priklauso daug grupių, vartotojas gali turėti problemų su autentifikavimo arba grupės strategijos parametrų. Šiuose Microsoft žinių bazės straipsniuose aprašoma šių simptomų išsamiau:

269643 Internet Explorer Kerberos autentifikavimo neveikia dėl nepakankamos buferio prie IIS
280380 Buferio perpildymo išnaudoti galima pratęsti saugomas procedūras
2020943 "HTTP 400 - Bad prašyti (prašyti antraštės per ilgas)" klaidos, interneto informacijos paslaugos (IIS)
Rezoliuciją, kuri yra aprašyti liepia keisti MaxTokenSize registro reikšmę. Pagerėjimas buvo siekiama šią rezoliuciją. Jei naudojate karštąsias pataisas, aprašytas šio straipsnio, neturite redaguoti numatytoji MaxTokenSize reikšmė.

Karštąsias pataisas, aprašytas šio straipsnio pakeičia karštąsias pataisas, esančias aprašomi Microsoft žinių bazės straipsnius, kurie yra išvardyti šiame skyriuje.
Priežastis
Vartotojas negali autentifikuoti nes Kerberos atpažinimo ženklas, kuris sukuriamas per autentifikavimo bandymų turi nustatytą maksimalų dydį. Transportas kaip nuotolinių procedūrų iškvietimo (RPC) ir HTTP remtis MaxTokenSize vertė kai jie skirti Buferiniai tirpalai autentifikavimui. Operacinėje sistemoje Windows 2000 (originalaus leidimo versiją), MaxTokenSize vertė 8000 baitų. Windows 2000 2 pakeitimų paketą (SP2) ir Windows Server 2003, MaxTokenSize reikšmė yra 12 000 baitų.

Kerberos naudoja lauką privilegija atributas sertifikatas (PAC) Kerberos pakelio transportui Active Directory grupės narystės. Pradedant Windows Server 2012, tai taip pat taikoma lauką aktyvus katalogas reikalavimų informacijos (dinaminis Access Control). Jei yra daug grupės narystė vartotojui, ir jei yra daug teiginių, vartotojas ar įrenginys, kuris yra naudojamas, šie laukai gali užimti daug vietos ant pakuotės.

Jei vartotojas yra daugiau nei 120 grupės narys, buferio, kuris yra nustatomas pagal MaxTokenSize vertė nėra pakankamai didelis. Todėl vartotojai negali autentifikuoti, ir jie gali gauti klaidos pranešimas "baigėsi atmintis". Prieš taikydami šias karštąsias pataisas, aprašytas šio straipsnio, kiekvienai grupei, kuri yra pridėta prie vartotojo abonementą padidina šio buferio iš 40 baitų.

Pastaba. Vykdant daugelį scenarijų, Windows NTLM autentifikavimą veiks tinkamai. Jūs negalite matyti Kerberos autentifikavimo problemą be analizės. Tačiau, scenarijai, kuriuose grupės strategijos parametrai taikomi gali veikti netinkamai.
Sprendimas
Svarbu.Norėdami išspręsti šią problemą, turite nustatyti MaxTokenSize registro reikšmė, visi kompiuteriai, kuriuose dalyvauja Kerberos autentifikavimo procesas. Tai apima SQL serverio klientams.(T. y. registro raktas turi būti nustatytas kiekviename kompiuteryje, kuri įtraukta į užklausos ir atsakymo srautas. Todėl, jeigu ten yra SQL serverio kliento, kuriais remiasi interneto programa, arba jeigu vartotojo atpažinimo ženklas negali būti perkelta į vidinis SQL serverio duomenų bazę, registro raktas turi būti nustatytas kliento kompiuteryje SQL serverio SQL serverio duomenų bazę kompiuteriu, ir taip pat kliento kompiuteryje, kuriame veikia "Internet Explorer", žiniatinklio serverio, kuriame veikia, veikia IISir t. t.)

Pastaba. Šių Windows versijų yra Bėda ta, kad šią problemą:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Paslaugų paketo informacija

Norėdami išspręsti šią problemą, gauti naujausią pakeitimų paketą Microsoft Windows 2000. Norėdami gauti daugiau informacijos, spustelėkite toliau nurodytą straipsnio numerį ir peržiūrėkite „Microsoft“ žinių bazės straipsnį:
260910 Kaip įsigyti naujausią Windows 2000 pakeitimų paketą

Karštosios pataisos informacija

Palaikomą naujausią pataisą dabar yra Microsoft. Tačiau ji skirta spręsti tik šiame straipsnyje aprašomai problemai. Taikyti ją tik sistemoms, kuriose kyla ši problema. Šios karštosios pataisos gali būti papildomai išbandomos. Todėl, jei jums yra ne ši problema, rekomenduojame palaukti kito Windows 2000 pakeitimų paketą, kuriame bus šios karštosios pataisos.

Norėdami išspręsti šią problemą iš karto, kreipkitės į Microsoft klientų gauti šį pataisymą. Žodžių sąrašą Microsoft klientų palaikymo tarnybos telefonų ir informacijos apie palaikymo kainas, eikite į Microsoft tinklalapyje:Pastaba. Ypatingais atvejais, mokesčių, kuriuos už palaikymo skambučius gali būti atšaukti, jei Microsoft palaikymo specialistas nusprendžia, kad jūsų problemą galima išspręsti naudojant konkretų naujinimą. Palaikymo bus taikoma papildoma parama klausimus ir klausimus, kurie neatitinka atitinkamų konkretų naujinimą.Šios karštosios pataisos angliškam failų atributai (arba vėliau failo atributus), yra išvardyti toliau pateiktoje lentelėje. Datos ir laikai surašyti pagal universalųjį laiką (UTC). Peržiūrint failo informaciją, jis konvertuojamas į vietos laiku. Pamatyti skirtumą tarp Cut ir vietos laiko, naudokite skirtuką laiko juostą į valdymo skydo elemento data ir laikas.
Būsena
„Microsoft“ patvirtino, kad tai yra „Microsoft“ produktų, išvardytų skyriuje „Taikoma“, problema. Ši problema pirmą kartą buvo pataisytas Microsoft Windows 2000 Service Pack 4.
Daugiau informacijos

Simbolinis dydžio apskaičiavimo Windows 2000 į Windows Server 2008 R2

Jei naudojate karštąsias pataisas, aprašytas šio straipsnio, jūs neturite pakeisti MaxTokenSize registro reikšmė dažniausiai. Tačiau, yra kai kurie scenarijai, kuriame jūs turite pakeisti MaxTokenSize registro reikšmę pritaikius šią karštąją pataisą. Pritaikius šią karštąją pataisą į visi domeno valdikliai, naudokite šią formulę nustatyti, ar jūs turite pakeisti MaxTokenSize vertės:
TokenSize = 1200 + 40 d + 8s
Šioje formulėje naudojama šių verčių:
  • d: domeno vietos grupių vartotojas yra narys skaičius plius universaliųjų grupių ne vartotojo abonento domenu, kad vartotojas yra narys ir grupių skaičius atstovaujama saugos identifikatorių (SID) istorija.
  • s: saugumo pasaulio grupių, kurios vartotojas yra narys skaičių plius universaliųjų vartotojo abonento domenu, kad vartotojas yra narys grupių skaičius.
  • 1200: apskaičiuota vertė bilietą kontaktinio tinklo. Ši vertė gali skirtis, priklausomai nuo veiksnių pvz., DNS domeno pavadinimas ilgis, kliento vardas ir kiti veiksniai.
Scenarijuose, kuriuose delegacija yra naudojama (pvz., kai vartotojai autentifikuotųsi domeno valdiklis), mes rekomenduojame, kad padauginsite atpažinimo ženklo dydį.

Kada reikia nustatyti registro įrašą

Jei simbolinis dydis, kurį skaičiuojate naudojant šią formulę yra mažiau kaip 12 000 baitų (numatytąjį dydį), jūs neturite pakeisti MaxTokenSize registro reikšmė domeno klientams. Jei reikšmė yra daugiau nei 12 000 baitų, pamatyti šiame Microsoft žinių bazės straipsnyje, aprašymas, kaip koreguoti MaxTokenSize registro reikšmę:

263693 Grupės strategijos gali būti netaikoma tiems vartotojams daug grupėms priklausančių

Pastabos
  • Pakeitus MaxTokenSize vertė, privalote paleisti kompiuterį, kad kaita yra veiksmingas.
Rekomenduojama MaxTokenSize registro įrašo reikšmė 65535 dešimtainis arba šešioliktainis FFFF. MaxTokenSize reikšmė nurodo ilgalaikio Kerberos bilieto gauti buferio, kuris yra MBSV, kad grupes, kuriose sąskaita yra narys.

Naudoti saugų dydį, galite nustatyti MaxTokenSize 48000, vykusia diskusija apie yra senaties terminas pagal HTTP antraštę dydį šiame straipsnyje. Priklausomai nuo kokios vertės jūs naudojate, pirmiausia kyla problemų su Kerberos klaidų įvykius, ar IIS HTTP 400 klaidų.

Žinomos problemos, su kuriomis galite susidurti

Žinomos problemos dėl prieigos atpažinimo ženklo dydį:

Tarnybos vietos saugumo institucija (LSA) sukuria vartotojo prieigos atpažinimo ženklo iš šio SID buferio. Užprogramuotas riba kliento neskaidomas MBSV, šis ženklas yra 1,015 rasite šiame ŽB straipsnyje:
328889 vartotojams, kurie yra daugiau nei 1.015 grupių nariai gali nepavykti įėjimo autentifikuoti
http://support.Microsoft.com/kb/328889/en-us

Todėl MaxTokenSize vertės daugiau kaip 1015 veiksmingą MBSV nėra naudinga. Šioje formulėje:
MaxTokenSize = 1200 + 40 d + 8s
40d reiškia, kad turite 40 baitų domeno vietos grupės SID. 8s-tai 8 baitų domeno Global/Universal grupė SID.

Todėl, jei turite MaxTokenSize vertė yra 0x0000FFFF (64K), jums gali būti prie buferio maždaug 1600 domeno vietos grupės MBSV arba maždaug 8000 domeno Global/Universal grupė morgą. Jei naudojate "patikimų delegacijai" sąskaitas, gali būti padvigubinta buferio poreikis kiekviena SID. Šiuose scenarijuose, jūs galite tik laikyti maždaug 800 domeno vietos grupės MBSV naudojant MaxTokenSize vertė yra 64K. Vis dėlto atsižvelgdama tik domeno vietos grupės MBSV, jog nėra tipiškas. 64K vertė turėtų pakakti net ir delegacijos scenarijus.

Žinomos problemosnaudojant MaxTokenSize didesnis nei 65535 vertės

Ankstesnes šio straipsnio vertės iki 100000 baitų daugelį MaxTokenSize. Mes nustatėme, kad versijos, SMS administratoriaus kyla problemų, kai MaxTokenSize yra 100 000 ar didesnis. Mes taip pat nustatėme, kad IPSEC IKE protokolo neleidžia užstatą BLOB tampa didesnis nei 66536 baitų, ir ji neužtikrintų kai MaxTokenSize yra nustatyta didesnė vertė.

Žinomų problemų dėl interneto informacijos serverio HTTP priėmimo buferis

Interneto informacijos serverio (IIS) naudoja sumažintą prašymą buferio dydį sumažinti perkrovos paslaugų atakos vektorių 64 KB. Tačiau, Kerberos bilieto kaip HTTP užklausa yra užkoduotas kaip Base64 (šešių bitai išsiplėtė iki aštuonių bitų). Be to, ir Kerberos bilieto naudoja 133 % savo pradinio dydžio. Todėl, kai maksimalus buferio dydis yra 64 KB IIS, 48 KB Kerberos bilieto gali būti naudojamas.

Jei nustatysite MaxTokenSize registro įrašo vertę, kuri yra didesnis nei 48000, ir buferio vietos naudojama Sid, IIS klaida gali atsirasti. Tačiau jei MaxTokenSize registro įrašo 48000, Kerberos klaida gali įvykti.

Daugiau informacijos apie IIS buferio dydį, spustelėkite šiuos numerius peržiūrėkite straipsnius Microsoft žinių bazėje:
310156 Kaip būti ribojamas antraštės HTTP perdavimo, kad IIS priima iš Windows 2000 kliento

920862 Klaidos pranešimas, kai Outlook Web Access vartotojas bando prieiti prie pašto dėžutės Exchange Server 2003: "HTTP 400 netinkama užklausa (užklausos antraštėje per ilgas)"

Windows Server 2012 pakeitimai

Windows Server 2012 pristatė šiuos pakeitimus Šis buferinis svarstymai:
  • MaxTokenSize numatytoji pavirsta 48000 baitų.
  • Čia yra nauja schema, suspaudžiant MBSV, kad AAM
  • Dinaminis Access Control prideda Active Directory teigia, kad bilietas. Todėl, apskaičiuojant nurodomas numatomas bilietų jau nebėra paprasta. Tikimasi, kad bilietus, kuriuos išduoda Windows Server 2012 domeno valdikliai yra mažesni už pačius bilietus, kurie išleidžiami iš ankstesnės operacinės sistemos versijos. Reikalavimus įtraukti į bilieto dydis. Tačiau po to, kai Windows Server 2012 failą serveriai naudoja reikalavimų iš esmės, galite tikėtis palaipsniui nemažai savo grupes, kurios kontroliuoja failo prieigą prie apdailos bilietą dydžių.

Daugiau informacijos apie Windows Server 2012 m. pokyčius, eikite į šioje "Microsoft TechNet" svetainėje:

Pavyzdžių, kai bilietas dydis vir¹ijamas

Daugiau informacijos spustelėkite šiuos numerius peržiūrėkite straipsnius Microsoft žinių bazėje:
277741 "Internet Explorer" prisijungti nepavyksta dėl nepakankamos buferio, Kerberos
313661 Klaidos pranešimas: "Skirtasis laikas baigėsi" įvyksta tada, kai jūs prisijungti prie SQL serverio per TCP/IP ir Kerberos MaxTokenSize yra didesnis nei 0xFFFF

Todėl, kad turite kryžminio domeno prisijungimo scenarijų miške, vertė turėtų būti nustatyti miško visoms Windows sistemoms. Todėl rekomenduojame MaxTokenSize vertės didžiausia vertė 64K.

Svarbu. SQL serverio klientams, galite gauti šį klaidos pranešimą kilus problemai:
Negalima generuoti SSPI kontekste
Norėdami išspręsti šią problemą, turite nustatyti MaxTokenSize registro reikšmė, visi kompiuteriai, kuriuose dalyvauja Kerberos autentifikavimo procesas. Tai apima SQL serverio klientams.

Įspėjimas: šis straipsnis išverstas automatiškai

Rekvizīti

Raksta ID: 327825. Pēdējo reizi pārskatīts: 06/13/2014 01:11:00. Pārskatījums: 2.0

Microsoft Windows XP leidimas profesionalams, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows 8 Enterprise, Windows 8 Pro, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86), Windows 8.1 Enterprise, Windows 8.1 Pro, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtlt
Atsauksmes