Momentan sunteți offline, așteptați să vă reconectați la internet

Browserul dvs. nu este acceptat

Trebuie să vă actualizați browserul pentru a utiliza site-ul.

Actualizați la cea mai recentă versiune Internet Explorer

Probleme cu autentificarea Kerberos atunci când un utilizator aparţine mai multor grupuri

Asistența pentru Windows XP s-a încheiat

Microsoft a încheiat asistența pentru Windows XP la data de 8 aprilie 2014. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

Asistența pentru Windows Server 2003 s-a încheiat la 14 iulie 2015

Microsoft a încheiat asistența pentru Windows Server 2003 14 iulie 2015. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

Asistența pentru Windows Vista Service Pack 1 (SP1) s-a încheiat pe 12.07.2011. Pentru a continua să primiți actualizări de securitate pentru Windows, asigurați-vă că executați Windows Vista cu pachetul Service Pack 2 (SP2). Pentru mai multe informaţii, consultaţi această pagină web Microsoft: Asistenţa se încheie pentru anumite versiuni de Windows.
Simptome
Atunci când un utilizator aparţine mai multor grupuri, utilizatorul respectiv poate avea probleme cu autentificarea sau cu setările politicii de grup. Următoarele articole din Baza de cunoştinţe Microsoft descriu aceste simptome mai detaliat:  

269643 Autentificarea Kerberos în Explorer Internet nu funcţionează din cauza unui tampon insuficient la conectarea la IIS
280380 Posibilă exploatare de depăşire a tamponului cu proceduri stocate extinse
2020943 Eroare „HTTP 400 - Solicitare eronată (Antet solicitare prea lung)” în Internet Information Services (IIS)
Soluţia descrisă în aceste articole vă arată cum să modificaţi valoarea de registry MaxTokenSize. S-a adus o îmbunătăţire acestei soluţii. Dacă utilizaţi remedierea rapidă descrisă în acest articol, probabil nu va trebui să editaţi valoarea implicită MaxTokenSize.

Remedierea rapidă descrisă în acest articol prevalează faţă de remedierile descrise în articolele din Baza de cunoştinţe Microsoft prezentate în această secţiune.
Cauză
Utilizatorul nu se poate autentifica deoarece simbolul Kerberos generat în timpul încercărilor de autentificare are o dimensiune maximă fixă. Transporturile RPC (remote procedure call) şi HTTP se bazează pe valoarea MaxTokenSize atunci când acestea alocă tampoane pentru autentificare. În Windows 2000 (versiunea originală lansată), valoarea MaxTokenSize este de 8.000 de octeţi. În Windows 2000 Service Pack 2 (SP2) şi Windows Server 2003, valoarea MaxTokenSize este de 12.000 de octeţi.

Kerberos utilizează câmpul PAC (certificat atribut privilegiat) al pachetului Kerberos pentru a transporta apartenenţa la grupul Active Directory. Începând cu Windows Server 2012, acest lucru se aplică la câmpul de informaţii cu cererile Active Directory (control acces dinamic). Dacă există multe apartenenţe la grup ale utilizatorului şi dacă există multe cereri ale utilizatorului sau ale dispozitivului utilizat, aceste câmpuri pot ocupa mult spaţiu în pachet.

Dacă un utilizator este membru în peste 120 de grupuri, tamponul stabilit de valoarea MaxTokenSize nu este suficient de mare. Prin urmare, utilizatorii nu se pot autentifica şi poate să apară mesajul de eroare „memorie insuficientă”. Înainte de a aplica remedierea rapidă descrisă în acest articol, fiecare grup adăugat la un cont de utilizator îşi măreşte tamponul cu 40 de octeţi.

Notă În multe situaţii, autentificarea Windows NTLM funcţionează conform aşteptărilor. Nu puteţi vedea problema autentificării Kerberos fără analiză. Cu toate acestea, există situaţii în care aplicându-se setările de politicii de grup, acestea să nu funcţioneze conform aşteptărilor.
Rezoluţie
Important Pentru a rezolva această problemă, trebuie să setaţi valoarea de registry MaxTokenSize pentru toate computerele implicate în procesul de autentificare Kerberos. Acesta include clienţii serverului SQL. (Adică cheia de registry trebuie setată pe fiecare computer implicat în fluxul de solicitare/răspuns. Prin urmare, dacă există un client de server SQL pe care se bazează o aplicaţie web sau dacă simbolul utilizatorului trebuie transferat către o bază de date backend a severului SQL, cheia de registry trebuie setată pe computerului clientului serverului SQL, pe computerul cu baza de date a serverului SQL şi pe computerul client pe care se execută Internet Explorer, pe serverul web pe care se execută IIS ş.a.m.d.)

Notă Următoarele versiuni de Windows includ o remediere pentru această problemă:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Informații despre pachetul Service Pack

Pentru a rezolva această problemă, obțineți cel mai recent pachet service pack pentru Microsoft Windows 2000. Pentru informații suplimentare, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:
260910 Cum se obține cel mai recent pachet de service pentru Windows 2000

Informații despre remedierea rapidă

Acum, este disponibilă o remediere rapidă acceptată de la Microsoft. Însă scopul său este de a corecta numai problema descrisă în acest articol. Aplicaţi-o numai pe sistemele care întâmpină această problemă anume. Această remediere rapidă poate să necesite testare suplimentară. De aceea, dacă nu sunteți grav afectat de această problemă, vă recomandăm să așteptați următorul pachet service pack Windows 2000 care conține această remediere rapidă.

Pentru a rezolva imediat problema, contactați Serviciile de asistență pentru clienții Microsoft pentru a obține această remediere rapidă. Pentru o listă completă a numerelor de telefon ale Serviciilor de asistență pentru clienții Microsoft și pentru informații referitoare la costul asistenței, mergeţi la următorul site web Microsoft:Notă În cazuri speciale, costurile implicate de obicei pentru apelurile de asistență pot fi anulate dacă un inginer de asistență Microsoft stabilește că o anumită actualizare va rezolva problema. Costurile uzuale de suport se vor aplica pentru întrebări suplimentare de suport și pentru probleme ce nu fac obiectul actualizării în chestiune.Versiunea în limba engleză a acestei remedieri rapide are atributele de fişier (sau atribute de fişier mai recente) enumerate în următorul tabel. Datele şi orele acestor fişiere sunt prezentate în timp universal (UTC). Când vizualizaţi informaţiile despre fişiere, acestea sunt transformate în ora locală. Pentru a afla diferența între timpul universal și cel local, utilizați fila Fus orar din elementul Dată și oră din Panoul de control.
Stare
Microsoft a confirmat că aceasta este o problemă în produsele Microsoft enumerate în secţiunea „Se aplică la”. Această problemă a fost corectată prima dată în Microsoft Windows 2000 Service Pack 4.
Informaţii suplimentare

Calcularea dimensiunii simbolului de la Windows 2000 la Windows Server 2008 R2

Dacă utilizaţi remedierea rapidă descrisă în acest articol, în majoritatea cazurilor nu trebuie să modificaţi valoare de registry MaxTokenSize. Cu toate acestea, există unele situaţii în care trebuie să modificaţi valoarea de registry MaxTokenSize după aplicarea acestei remedieri rapide. După aplicarea acestei remedieri rapide pentru toate controlerele de domeniu, utilizaţi formula următoare pentru a stabili dacă trebuie să modificaţi valoarea MaxTokenSize:
DimensiuneSimbol = 1200 + 40d + 8s
Această formulă utilizează următoarele valori:
  • d: Numărul de grupuri locale din domeniu al căror membru este utilizatorul plus numărul de grupuri universale din afara domeniului contului utilizatorului al căror membru este utilizatorul plus numărul de grupuri reprezentate în istoricul ID-ului de securitate (SID).
  • s: Numărul grupurilor globale de securitate al căror membru este utilizatorul plus numărul de grupuri universale din domeniul unui cont de utilizator al căror membru este utilizatorul.
  • 1200: Valoarea estimată pentru supraîncărcarea tichetului. Această valoare poate varia în funcţie de factori ca lungimea numelui de domeniu DNS, numele de client şi alţi factori.
În situaţiile în care se utilizează delegarea (de exemplu, atunci când utilizatorii se autentifică pentru un controler de domeniu), vă recomandăm să dublaţi dimensiunea simbolului.

Când se setează intrarea de registry

Dacă dimensiunea simbolului pe care o calculaţi utilizând această formulă este mai mică de 12.000 de octeţi (dimensiunea implicită), nu trebuie să modificaţi valoarea de registry MaxTokenSize pentru clienţii de domeniu. Dacă valoare este mai mare de 12.000 de octeţi, consultaţi următorul articol din Baza de cunoştinţe Microsoft pentru descrierea modului de reglare a valorii de registry MaxTokenSize:

263693 Este posibil ca politica de grup să nu se aplice utilizatorilor aparţinând mai multor grupuri

Note
  • Când modificaţi valoarea MaxTokenSize, trebuie să reporniţi computerul, astfel încât schimbarea să aibă efect.
Valoarea maximă recomandată este zecimală 65535 sau hexazecimală FFFF. Valoarea MaxTokenSize specifică un tampon fix de primire a tichetului Kerberos care conţine SID-urile ce reprezintă grupul în care contul este membru. Ulterior, serviciul autorităţii de securitate locală (LSA) generează simbolul de la acest tampon SID. Limita de trecere în cod sursă a SID-urilor ce pot fi definite de client pentru acest simbol este de 1.015, consultaţi acest articol din Baza de cunoştinţe:
328889 Este posibil ca utilizatorii care sunt membri în mai mult de 1.015 de grupuri să nu se poată autentifica
http://support.microsoft.com/kb/328889/EN-US

Prin urmare, o valoare MaxTokenSize pentru mai mult de 1.015 SID-uri efective nu este utilă. În următoarea formulă:
MaxTokenSize = 1200 + 40d + 8s
40d înseamnă că aveţi 40 de octeţi pentru un SID de grup local în domeniu. 8s înseamnă 8 octeţi pentru un SID de grup universal/global în domeniu.

Prin urmare, dacă aveţi o valoare MaxTokenSize de 0x0000FFFF (64.000), puteţi trece în tampon aproximativ 1.600 de SID-uri de grup local în domeniu sau aproximativ 8.000 de SID-uri de grup universal/global în domeniu. Dacă utilizaţi conturile „încredinţate pentru delegare”, cerinţa de tampon pentru fiecare SID poate fi dublată. În aceste situaţii, puteţi stoca numai aproximativ 800 de SID-uri de grup local în domeniu când se utilizează o valoare de 64.000 pentru MaxTokenSize. Cu toate acestea, existenţa numai a SID-urilor de grup local în domeniu nu reprezintă o situaţie tipică. O valoare de 64.000 ar trebui să fie suficientă chiar şi pentru situaţiile de delegare.

Modificările de Windows Server 2012

Windows Server 2012 a introdus următoarele modificări privind acest tampon:
  • Valoarea implicită pentru MaxTokenSize se modifică la 48.000 de octeţi.
  • Există o nouă schemă pentru comprimarea SID-urilor în PAC.
  • Controlul accesului dinamic adaugă cereri Active Directory la tichet. Prin urmare, calculul dimensiunilor previzibile ale tichetelor nu mai este precis. Se presupune că tichetele eliberate de controlerele de domeniu Windows Server 2012 sunt mai mici decât aceleaşi tichete eliberate de versiuni mai vechi de sisteme de operare. Cererile se adaugă la dimensiunea tichetului. Cu toate acestea, după ce serverele de fişiere Windows Server 2012 utilizează în linii mari cererile, vă puteţi aştepta la reducerea semnificativă a numărului de grupuri care controlează accesul la fişiere pentru a reduce dimensiunile tichetelor.

Pentru mai multe informații despre modificările din Windows Server 2012, mergeţi la următorul site web Microsoft TechNet:

Exemple de probleme atunci când se depăşeşte dimensiunea tichetului

Pentru mai multe informaţii, faceţi clic pe următoarele numere de articole pentru a vizualiza articolele în Baza de cunoştinţe Microsoft:
277741 Nu se reuşeşte conectarea la Internet Explorer din cauza unui tampon insuficient pentru Kerberos
313661 Mesaj de eroare: „Timp de aşteptare expirat” apare atunci când vă conectaţi la serverul SQL prin TCP/IP şi valoarea MaxTokenSize pentru Kerberos este mai mare decât 0xFFFF

Deoarece este posibil să aveţi situaţii în care conectarea se face între domenii în pădure, valoarea trebuie setată la nivel de pădure în toate sistemele bazate pe Windows. De aceea vă recomandăm ca valoarea maximă pentru MaxTokenSize să fie 64.000.

Importanta Pe clienţii de server SQL, este posibil să primiţi următorul mesaj de eroare atunci când apare această problemă:
Imposibil de generat contextul SSPI
Pentru a rezolva această problemă, trebuie să setaţi valoarea de registry MaxTokenSize pentru toate computerele implicate în procesul de autentificare Kerberos. Acest lucru include clienţii serverului SQL.

Proprietăți

ID articol: 327825 - Ultima examinare: 08/30/2013 13:41:00 - Revizie: 3.0

  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix KB327825
Feedback
ow.location.protocol) + "//c.microsoft.com/ms.js'><\/script>");