Đăng nhập Internet Explorer không do một vùng đệm không đủ cho Kerberos

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:277741
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
Quan trọng Bài viết này chứa thông tin về làm thế nào để chỉnh sửa registry. Hãy chắc chắn để sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Hãy chắc chắn rằng bạn biết cách khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu, phục hồi, và sửa đổi sổ đăng ký, hãy bấm số bài viết sau đây để xem bài viết trong Cơ sở Kiến thức Microsoft:
256986 Mô tả sổ đăng ký́ Microsoft Windows
TRIỆU CHỨNG
Trong quá trình kết nối với một thông tin trên Internet Máy chủ (IIS) máy chủ được cấu hình cho Windows 2000 xác thực, người dùng trình bày với các Nhập mật khẩu mạng hộp thoại. Người dùng cố gắng để đăng nhập. Ủy nhiệm yêu cầu và cung cấp, và sau đó lỗi trang web sau đây là hiển thị, ngay cả Mặc dù các chứng chỉ hợp lệ:
Bạn không có quyền để xem trang này. Bạn không có quyền xem thư mục hoặc trang sử dụng ủy nhiệm bạn cung cấp.
NGUYÊN NHÂN
Các chứng chỉ hợp lệ và có thể được sử dụng để truy cập các cùng một hệ thống thông qua các dịch vụ Windows NT Server thông qua các sử dụng lưới bộ chỉ huy. Tuy nhiên, WinINet xử lý có thể không phân bổ một đầy đủ bộ đệm cho có chứa mã thông báo Kerberos của người dùng. Điều này có thể xảy ra nếu người dùng là một thành viên của các nhóm hơn 100, ví dụ.
GIẢI PHÁP
Vấn đề này liên quan đến một WinINet xử lý Internet Explorer việc đệm vấn đề. Để giải quyết vấn đề này, áp dụng một trong hai hotfix sau, Windows 2000 Service Pack 2 (SP2) hoặc một bản Cập Nhật Internet Explorer, và sau đó thiết lập các MaxTokenSize tham số sổ đăng ký (mô tả trong phần "Thông tin thêm" bài viết này) trên tất cả các khách hàng máy tính.

Hotfix được hỗ trợ đang được Microsoft cung cấp. Tuy nhiên, hotfix này là nhằm khắc phục chỉ sự cố được mô tả trong bài viết này. Hotfix này chỉ áp dụng cho hệ thống đang gặp vấn đề này cụ thể.

Nếu hotfix này sẵn có để tải xuống, có phần "Tải xuống hotfix sẵn có" ở đầu bài viết trong Cơ sở Kiến thức này. Nếu phần này không xuất hiện, gửi một yêu cầu dịch vụ khách hàng của Microsoft và hỗ trợ để có được các hotfix.

Chú ý Nếu vấn đề khác xảy ra hoặc nếu bất cứ xử lý sự cố là cần thiết, bạn có thể phải tạo một yêu cầu dịch vụ riêng biệt. Các chi phí hỗ trợ thông thường sẽ áp dụng để hỗ trợ thêm câu hỏi và vấn đề mà không vượt qua vòng loại cho hotfix này cụ thể. Đối với một danh sách đầy đủ của Microsoft dịch vụ khách hàng và hỗ trợ số điện thoại hoặc để tạo ra một yêu cầu dịch vụ riêng biệt, ghé thăm Web site sau của Microsoft: Chú ý Các hình thức "hotfix download available" hiển thị các ngôn ngữ mà các hotfix có sẵn. Nếu bạn không thấy ngôn ngữ của mình thì đó là do hotfix này hiện không có ngôn ngữ đó. Phiên bản tiếng Anh của Sửa chữa nên có các thuộc tính tệp sau đây hoặc sau này:
   Date        Time    Version      Size    File name   --------------------------------------------------   10/13/2000  04:35p 5.0.3210.1300 459,536 Wininet.dll				
CÁCH GIẢI QUYẾT KHÁC
Giảm số lượng các nhóm người dùng là thành viên của.
TÌNH TRẠNG
Microsoft đã xác nhận rằng đây là một vấn đề trong Microsoft Windows 2000.
THÔNG TIN THÊM
Để biết thêm thông tin về làm thế nào để cài đặt Windows 2000 và Windows 2000 hotfixes cùng lúc đó, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
249149Cài đặt Microsoft Windows 2000 và Windows 2000 hotfixes
Chú ý Hotfix được mô tả trong phần "Giải quyết" của bài viết này thay thế hotfix ban đầu được cung cấp trong kiến thức Microsoft sau Bài viết cơ sở:
269643 Internet Explorer Kerberos xác thực không hoạt động vì của một vùng đệm không đủ đang kết nối tới IIS
Cảnh báo Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác bằng cách sử dụng Registry Editor hoặc bằng cách sử dụng một phương pháp. Những vấn đề này có thể yêu cầu bạn cài đặt lại hệ điều hành của bạn. Microsoft không thể bảo đảm rằng những sự cố này có thể được giải quyết. Bạn phải tự chịu rủi ro khi sửa đổi sổ đăng ký.
Hotfix này cung cấp một tham số sổ đăng ký mà bạn có thể sử dụng để tăng kích thước token Kerberos. Ví dụ, gia tăng sự mã thông báo đến 65 KB sẽ cho phép một người sử dụng có mặt trong các nhóm hơn 900. Do các liên quan đến bảo mật thông tin định danh (SID), con số này có thể khác nhau.

Thực hiện sau đây để đặt tham số này:
  1. Khởi động Registry Editor (Regedt32.exe).
  2. Xác định vị trí và bấm vào các thiết lập registry sau đây:
    System\\CurrentControlSet\\Control\\Lsa\\Kerberos\Parameters
  3. Trên các Chỉnh sửa trình đơn, nhấp vào Thêm giá trị, và sau đó thêm giá trị đăng ký sau đây:
    Tên giá trị: MaxTokenSize
    Kiểu dữ liệu: REG_DWORD
    Sinh: thập phân
    Dữ liệu có giá trị: 65535
  4. Thoát khỏi Registry Editor.
Giá trị mặc định cho MaxTokenSize là 12000 thập phân. Microsoft khuyến cáo rằng bạn đặt giá trị này 65535 thập phân, FFFF hệ thập lục phân. Nếu bạn thiết lập giá trị này không chính xác để 65535 hệ thập lục phân (một giá trị rất lớn) Kerberos xác thực các hoạt động có thể thất bại, và chương trình sẽ trả về lỗi. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
297869Các vấn đề quản trị SMS sau khi bạn sửa đổi giá trị đăng ký Kerberos MaxTokenSize
Sau khi bạn thiết lập giá trị và máy tính Cập Nhật, khởi động lại máy tính. Mặc dù bạn phải Cập Nhật bộ kiểm soát miền cá nhân, bạn có thể sử dụng thiết đặt chính sách nhóm để thiết lập giá trị này cho khách hàng máy vi tính cũng đã được Cập Nhật. Bạn phải cấu hình tất cả các khách hàng hệ thống và các máy chủ tên miền với cơ quan đăng ký sửa đổi và cập nhật các hệ thống với Windows 2000 SP2 hoặc các hotfix.

Để biết thêm chi tiết, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
313661Khắc phục: Thông báo lỗi: "Timeout hết" xảy ra khi bạn kết nối với SQL Server trên TCP/IP và Kerberos MaxTokenSize là lớn hơn 0xFFFF
300367 DCOM khách hàng có thể đặt bộ nhớ trên dây
Để biết thêm chi tiết về cấu hình mã thông báo kích thước Kerberos và hỗ trợ trong Windows 2000, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
263693Chính sách nhóm không thể được áp dụng cho người dùng thuộc nhiều nhóm

Các bước để tạo lại hành vi

  1. Tạo một trương mục Windows NT.
  2. Đảm bảo rằng Active Directory được cài đặt và tích hợp Xác thực được cấu hình.
  3. Thêm các tài khoản cho khoảng 100 khác nhau các nhóm.
  4. Tạo một tài khoản thứ hai và thêm nó vào ba trong số các các nhóm.
Kết quả:
Các tài khoản đầu tiên không thể duyệt qua http://<servername></servername>, nhưng có thể tài khoản thứ hai.
Chú ý Kịch bản sau đây bằng cách sử dụng Creategroup.vbs từ reskit được sử dụng để tạo lại vấn đề:
CreateGroup.vbs from the resource kit is a viable method for doing so.creategroup LDAP: DC=Domain,DC=Org,DC=Company,DC=com GroupName1CN=administrator,CN=Users,DC=Domain,DC=Org,dc=Company,dc=com passwordcreategrp.log...					

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 277741 - Xem lại Lần cuối: 12/05/2015 22:28:05 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive kbautohotfix kbhotfixserver kbbug kbfix kbqfe kbmt KB277741 KbMtvi
Phản hồi