Problemen met Kerberos-verificatie wanneer een gebruiker tot vele groepen behoort

De ondersteuning voor Windows XP is beëindigd

De ondersteuning voor Office 2003 is door Microsoft beëindigd op 8 april. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

De ondersteuning voor Windows Server 2003 is op 14 juli 2015 beëindigd

De ondersteuning voor Windows Server 2003 is door Microsoft op 14 juli 2015 beëindigd. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 327825
Ondersteuning voor Windows Vista Service Pack 1 (SP1) eindigt op 12 juli 2011. Als u wilt doorgaan met het ontvangen van beveiligingsupdates voor Windows, moet u Windows Vista met Service Pack 2 (SP2) geïnstalleerd hebben. Raadpleeg de volgende Microsoft-webpagina voor meer informatie: Ondersteuning wordt voor sommige versies van Windows beëindigd.
Symptomen
Wanneer een gebruiker tot vele groepen behoort, hebben die gebruikers problemen met verificatie of met de instellingen voor Groepsbeleid. Deze symptomen in meer detail wordt beschreven in de volgende Microsoft Knowledge Base-artikelen:

269643 Internet Explorer Kerberos-verificatie werkt niet door een onvoldoende buffer verbinding maakt met IIS
280380 Buffer overflow misbruik mogelijk met uitgebreide opgeslagen procedures
2020943 Foutbericht 'HTTP 400 - Ongeldig verzoek (Request Header te lang)' in Internet Information Services (IIS)
De resolutie die wordt beschreven in deze artikelen: Hiermee geeft u de registerwaarde MaxTokenSize wijzigen. Deze oplossing is een verbetering aangebracht. Als u de hotfix die in dit artikel wordt beschreven, moet u mogelijk geen bewerken de standaardwaarde voor MaxTokenSize.

De hotfix die wordt beschreven in dit artikel vervangt de hotfixes die worden beschreven in de Microsoft Knowledge Base-artikelen die in deze sectie worden vermeld.
Oorzaak
De gebruiker kan niet worden geverifieerd omdat het Kerberos-token dat wordt gegenereerd tijdens de verificatiepogingen een vaste maximumgrootte heeft. Transporten zoals remote procedure call (RPC) en HTTP zijn afhankelijk van de waarde van MaxTokenSize wanneer ze buffers toewijst voor verificatie. In Windows 2000 (de originele versie) is de waarde MaxTokenSize 8.000 bytes. In Windows 2000 Service Pack 2 (SP2) en Windows Server 2003 is de waarde MaxTokenSize 12.000 bytes.

Kerberos gebruikt het Privilege kenmerk certificaat (PAC) van het Kerberos-pakket op het vervoer van lidmaatschap van een Active Directory-groep. Starten met Windows Server 2012, dit geldt ook voor het veld Claims van Active Directory Claims-informatie (Dynamic Access Control). Er zijn veel groepslidmaatschappen van de gebruiker en er zijn veel claims voor de gebruiker of het apparaat dat wordt gebruikt, deze velden in beslag kunnen nemen veel ruimte in het pakket.

Als een gebruiker lid van meer dan 120 groepen is, is de buffer die wordt bepaald door de waarde MaxTokenSize niet groot genoeg is. Daarom kunnen gebruikers zich niet verifiëren worden en volgt er een foutbericht 'onvoldoende geheugen'. Voordat u de hotfix die wordt beschreven in dit artikel toepassen, wordt deze buffer in elke groep die wordt toegevoegd aan een gebruikersaccount verhoogd met 40 bytes.

Opmerking In veel gevallen kan Windows NTLM-verificatie werkt zoals verwacht. Het probleem met Kerberos-verificatie zonder analyse mogelijk niet weergegeven. Scenario's waarin instellingen voor Groepsbeleid worden toegepast mogelijk niet werkt zoals verwacht.
Oplossing
Belangrijk U lost dit probleem, moet u de registerwaarde MaxTokenSize instellen voor de computers die bij het Kerberos-verificatieproces betrokken zijn. Dit geldt ook voor de SQL Server-clients. (Dat wil zeggen de registersleutel heeft moet worden ingesteld op elke computer die bij de aanvraag/reactie-stroom betrokken is. Dus als een SQL Server-client die een webtoepassing is gebaseerd of als het token van de gebruiker moeten worden doorgegeven aan een SQL Server-database backend, de registersleutel moet worden ingesteld op de SQL Server-clientcomputer van de computer met SQL Server-database is, en ook de clientcomputer met Internet Explorer, de webserver die met IIS wordt uitgevoerd enzovoort.)

Opmerking De volgende versies van Windows zijn een oplossing voor dit probleem:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Informatie over het service pack

U lost dit probleem, het meest recente servicepack voor Microsoft Windows 2000 te verkrijgen. Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
260910 Het verkrijgen van het meest recente servicepack voor Windows 2000

Informatie over de hotfix

Een ondersteunde hotfix is nu beschikbaar bij Microsoft. Het is echter bedoeld om alleen het probleem dat wordt beschreven in dit artikel. Pas deze alleen toe op systemen waarop dit specifieke probleem zich voordoet. Deze hotfix moet wellicht extra worden getest. Als u geen ernstige problemen ondervindt, is het daarom raadzaam te wachten op het volgende servicepack voor Windows 2000 waarin deze hotfix is opgenomen.

U lost dit probleem meteen contact op met Microsoft Customer Support Services om de hotfix te verkrijgen. Voor een volledige lijst met telefoonnummers van Microsoft Customer Support Services en informatie over kosten van ondersteuning gaat u naar de volgende Microsoft-website:Opmerking In speciale gevallen kunnen kosten die normaal aan ondersteuningsoproepen verbonden zijn, worden geannuleerd als een medewerker van Microsoft productondersteuning van mening is dat een specifieke update de oplossing van uw probleem is. De normale ondersteuningskosten blijven gelden voor extra ondersteuningsvragen die niet in aanmerking voor de specifieke update in kwestie komen.De Engelse versie van deze hotfix heeft de bestandskenmerken (of recentere bestandskenmerken) die in de volgende tabel worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Gebruik het tabblad tijdzone in het onderdeel datum en tijd in het Configuratiescherm om het verschil tussen UTC en lokale tijd.
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'. In Microsoft Windows 2000 Service Pack 4 werd voor het eerst een correctie aangebracht voor dit probleem.
Meer informatie

Grootte van Windows 2000 naar Windows Server 2008 R2 berekening token

Als u de hotfix die in dit artikel wordt beschreven, hoeft u niet te wijzigen van de registerwaarde MaxTokenSize in de meeste gevallen. Er zijn echter enkele scenario's waarin u de registerwaarde MaxTokenSize wijzigen nadat u deze hotfix hebt. Nadat u deze hotfix op alle domeincontrollers toepast, moet u de volgende formule gebruiken om te bepalen of u de waarde van MaxTokenSize wijzigen:
TokenSize = 1200 + 40 d + 8s
In deze formule wordt de volgende waarden:
  • d: het aantal domeingebonden groepen die een gebruiker lid van is plus het aantal universele groepen buiten het domein van de gebruiker die de gebruiker lid van is en het aantal groepen weergegeven in de security-ID (SID) geschiedenis.
  • s: het aantal globale beveiligingsgroepen waarvan een gebruiker lid van is plus het aantal universele groepen in het domein van de gebruikersaccount die de gebruiker lid van is.
  • 1200: de geschatte waarde van de ticket overhead. Deze waarde kan variëren, afhankelijk van factoren zoals de lengte van domeinnamen voor DNS-naam van client en andere factoren.
In scenario's waarin de delegatie wordt gebruikt (bijvoorbeeld wanneer gebruikers worden geverifieerd bij een domeincontroller), is het raadzaam dat u de grootte van het token verdubbelt.

Als de registervermelding instellen

Als het token dat u berekenen met behulp van deze formule is minder dan 12.000 bytes (de standaardgrootte), hoeft u niet de registerwaarde MaxTokenSize op domeinclients wijzigen. Als de waarde meer dan 12.000 bytes is, raadpleegt u het volgende Microsoft Knowledge Base-artikel voor een beschrijving van het aanpassen van de registerwaarde MaxTokenSize:

263693 Groepsbeleid kan niet worden toegepast op gebruikers die tot vele groepen behoren

Opmerkingen
  • Als u de waarde van het MaxTokenSize wijzigt, moet u de computer opnieuw zodat de wijziging doorgevoerd is.
De aanbevolen waarde voor de registervermelding MaxTokenSize is 65535 decimale of hexadecimale FFFF. De waarde MaxTokenSize geeft een vaste Kerberos-ticket ontvangen buffer met de SID's die staan voor de groepen waarvan de account lid is.

Om een veilige grootte gebruikt, kunt u MaxTokenSize instellen op 48000, na de discussie over een beperking ingevoerd door de grootte van de HTTP-header verderop in dit artikel. Afhankelijk van welke waarde u gebruikt, moet u eerst een probleem met Kerberos-fouten of IIS HTTP 400 fouten tegenkomen.

Bekende problemen die kunnen optreden

Bekende problemen voor de grootte van de Access Token:

De lokale beveiligingsautoriteit (LSA) service genereert de gebruiker Access Token van deze buffer SID. De vastgelegde limiet van klant definieerbare beveiligings-id's voor deze token 1,015, Zie dit KB-artikel:
328889 gebruikers die lid van meer dan 1,015 groepen zijn mislukt aanmeldingsverificatie
http://support.Microsoft.com/kb/328889/en-us

Daarom is een MaxTokenSize-waarde voor meer dan 1015 daadwerkelijke SID's niet nuttig. In de volgende formule:
MaxTokenSize = 1200 + 40 d + 8s
40d betekent dat er 40 bytes voor een domein-SID voor lokale groep. 8s: 8 bytes voor een domein globale/Universal groep SID.

Daarom hebt u een MaxTokenSize-waarde van 0x0000FFFF (64K), u mogelijk in de buffer van ongeveer 1600 domein lokale groep beveiligings-id's of ongeveer 8000 domein globale/Universal groep SID's. Als u 'vertrouwd voor overdracht' gebruikt, kan de vereiste buffer voor elke SID worden verdubbeld. U kunt slechts ongeveer 800 domein lokale groep SID's opslaan in deze scenario's, wanneer de waarde van een MaxTokenSize van 64 kB wordt gebruikt. Met alleen domein lokale groep SID's is echter niet een typisch scenario. Een waarde van 64 kB moet voldoende zelfs voor Overdrachtsscenario's.

Bekende problemenAls u de waarden van MaxTokenSize groter dan 65535

Vorige versies van dit artikel beschreven waarden van maximaal 100000 bytes voor MaxTokenSize. We hebben ontdekt dat de versies van de SMS-beheerder problemen hebben wanneer de MaxTokenSize 100000 bedraagt of groter. We hebben ook aangeduid dat het IPSEC IKE-protocol is niet toegestaan een zekerheid BLOB groter zijn dan 66536 bytes worden en ook mislukken zou wanneer MaxTokenSize is ingesteld op een hogere waarde.

Bekende problemen met het Internet informatie Server HTTP ontvangstbuffer

Internet Information Server (IIS) gebruikt een verlaagde aanvraag buffergrootte te beperken van een denial of service-aanvalsvector van 64 KB. Echter, een Kerberos-Ticket in een HTTP-aanvraag is gecodeerd als een Base64 (zes bits uitgebreid naar 8-bits). Bovendien en het Kerberos-Ticket 133 procent van de oorspronkelijke grootte. Daarom, wanneer de maximale buffergrootte 64 KB in IIS is, 48 KB van een Kerberos-Ticket worden gebruikt.

Als u de registervermelding MaxTokenSize ingesteld op een waarde die groter is dan 48000 en de bufferruimte voor beveiligings-id's wordt gebruikt, treedt er een fout van IIS. Echter, als u de registervermelding MaxTokenSize ingesteld op 48000, een Kerberos-fout optreden.

Voor meer informatie over IIS-buffergrootte, klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base:
310156 Het beperken van de grootte van de header van de HTTP-overdracht die IIS vanaf een client in Windows 2000 accepteert

920862 Foutbericht wanneer een gebruiker Outlook Web Access probeert te krijgen tot een postbus in Exchange Server 2003: ' HTTP-fout 400 Ongeldig verzoek (Request header te lang) "

Windows Server 2012 wijzigingen

Windows Server 2012 geïntroduceerd de volgende wijzigingen aan de overwegingen over deze buffer:
  • De standaardwaarde voor MaxTokenSize gewijzigd in 48.000 bytes.
  • Er is een nieuw schema voor het comprimeren van de SID's in de PAC.
  • Dynamic Access Control wordt toegevoegd voor Claims van Active Directory op het Ticket. Berekening van de grootte van de verwachte ticket is daarom niet meer eenvoudig. De verwachting is dat tickets die zijn uitgegeven door domeincontrollers Windows Server 2012 kleiner zijn dan de dezelfde tickets die zijn uitgegeven uit oudere versies van het besturingssysteem. Claims toevoegen aan de ticketgrootte. Echter, nadat Windows Server 2012-bestandsservers vorderingen grotendeels gebruikt zijn, kunt u verwachten geleidelijk een groot aantal groepen die toegang tot het bestand voor het bijsnijden van ticket formaten beheren.

Ga naar de volgende Microsoft TechNet-website voor meer informatie over Windows Server 2012-wijzigingen:

Voorbeelden van problemen wanneer de ticketgrootte is overschreden

Voor meer informatie klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base te bekijken:
277741 Internet Explorer-aanmelding mislukt vanwege een onvoldoende buffer voor Kerberos
313661 Foutbericht: 'Time-out' treedt op wanneer u verbinding met SQL Server via TCP/IP maakt en de Kerberos MaxTokenSize groter dan 0xFFFF is

Omdat u aanmelden interdomein-scenario's in het forest wellicht, moet waarde forest-omvattende op alle Windows-systemen. Daarom is het raadzaam dat de maximale waarde voor de waarde MaxTokenSize 64 kB zijn.

Belangrijk Op de SQL Server-clients wordt het volgende foutbericht weergegeven wanneer dit probleem optreedt:
Kan geen SSPI-context genereren
U lost dit probleem, moet u de registerwaarde MaxTokenSize instellen voor de computers die bij het Kerberos-verificatieproces betrokken zijn. Dit geldt ook voor de SQL Server-clients.

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 327825 - Laatst bijgewerkt: 06/11/2016 21:16:00 - Revisie: 6.0

Microsoft Windows XP Professional, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows 8 Enterprise, Windows 8 Pro, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtnl
Feedback