Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Vấn đề với xác thực Kerberos khi người dùng thuộc nhiều nhóm

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 327825
Hỗ trợ Windows Vista gói bản ghi dịch vụ 1 (SP1) kết thúc vào tháng 12 năm 2011. Để tiếp tục nhận các bản Cập Nhật bảo mật cho Windows, hãy đảm bảo bạn đang chạy Windows Vista với gói bản ghi dịch vụ 2 (SP2). Để biết thêm thông tin, hãy tham khảo web site sau của Microsoft: Hỗ trợ kết thúc cho một số phiên bản của Windows.
Triệu chứng
Khi người dùng thuộc nhiều nhóm, người dùng có thể có vấn đề với xác thực hoặc thiết đặt chính sách nhóm. Bài viết Cơ sở tri thức Microsoft sau đây mô tả các hiện tượng cụ thể hơn:

269643 Xác thực Internet Explorer Kerberos không hoạt động do bộ đệm ủ kết nối với IIS
280380 Khai thác tràn bộ đệm có thể mở rộng thủ tục dịch sẵn
2020943 Lỗi "HTTP 400 - Bad (yêu cầu tiêu đề yêu cầu quá dài)" trong bản ghi dịch vụ thông tin Internet (IIS)
Giải pháp được mô tả trong bài viết này hướng dẫn bạn thay đổi giá trị kiểm nhập MaxTokenSize. Cải thiện được thực hiện để giải quyết này. Nếu bạn sử dụng hotfix được mô tả trong bài viết này, bạn có thể không cần phải chỉnh sửa giá trị mặc định MaxTokenSize.

Các hotfix được mô tả trong bài viết này thay thế các hotfix được mô tả trong bài viết Cơ sở tri thức Microsoft được liệt kê trong phần này.
Nguyên nhân
Người dùng không thể xác thực bởi vì thẻ Kerberos được tạo ra trong khi cố gắng xác thực có kích thước tối đa cố định. Vận chuyển như cuộc gọi thủ tục từ xa (RPC) và HTTP dựa vào giá trị MaxTokenSize khi họ phân bổ bộ đệm cho xác thực. Trong Windows 2000 (Phiên bản phát hành gốc), giá trị MaxTokenSize là 8000 byte. Trong Windows 2000 Service Pack 2 (SP2) và Windows Server 2003, giá trị MaxTokenSize là 12.000 byte.

Kerberos sử dụng trường quyền thuộc tính chứng chỉ (PAC) của gói Kerberos đến nhóm thành viên Thư mục Họat động. Bắt đầu với Windows Server 2012, điều này cũng áp dụng cho trường Thư mục Họat động yêu cầu thông tin (động Access Control). Nếu có nhiều nhóm thành viên cho người dùng nếu có nhiều yêu cầu người dùng hoặc thiết bị đang được sử dụng, các trường có thể chiếm nhiều dung lượng trong các gói.

Nếu người dùng là thành viên của nhóm hơn 120, đệm được xác định bởi giá trị MaxTokenSize là không đủ lớn. Do đó, người dùng không thể xác thực và họ có thể nhận được một "hết bộ nhớ" thông báo lỗi. Trước khi bạn áp dụng hotfix được mô tả trong bài viết này, mỗi nhóm được thêm vào tài khoản người dùng tăng này đệm 40 byte.

Lưu ý: Trong nhiều trường hợp, Windows NTLM xác thực hoạt động như mong đợi. Bạn không thể thấy các vấn đề xác thực Kerberos không phân tích. Tuy nhiên, kịch bản cài đặt chuyên biệt chính sách nhóm được áp dụng có thể không hoạt động như mong đợi.
Giải pháp
Quan trọng Để giải quyết vấn đề này, bạn phải đặt giá trị kiểm nhập MaxTokenSize cho tất cả các máy tính có liên quan trong quá trình xác thực Kerberos. Điều này bao gồm các khách hàng SQL Server. (Tức là, khoá kiểm nhập đã được cài đặt chuyên biệt trên mỗi máy tính có liên quan đến dòng yêu cầu/phản hồi. Do đó, nếu khách hàng SQL Server trên ứng dụng web dựa hoặc nếu người dùng thẻ đã được chuyển đến bộ máy cơ sở dữ liệu SQL Server phụ trợ, khoá kiểm nhập đã được cài đặt chuyên biệt trên máy tính khách của SQL Server, SQL Server bộ máy cơ sở dữ liệu máy tính và cũng máy tính khách đang chạy Internet Explorer, Máy chủ Web chạy có đang chạy IIS v.v..)

Lưu ý: Các phiên bản Windows bao gồm các giải pháp cho vấn đề này:
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

Thông tin gói bản ghi dịch vụ

Để khắc phục sự cố này, tải xuống gói bản ghi dịch vụ mới nhất cho Microsoft Windows 2000. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
260910 Cách lấy gói bản ghi dịch vụ mới nhất của Windows 2000

Thông tin về cập nhật nóng

Microsoft hiện đã cung cấp bản cập nhật nóng được hỗ trợ. Tuy nhiên, nó là nhằm khắc phục chỉ sự cố được mô tả trong bài viết này. Áp dụng cho các hệ thống đang gặp sự cố cụ thể này. Hotfix này có thể được kiểm tra thêm. Do đó, nếu bạn không bị ảnh hưởng bởi sự cố này, chúng tôi khuyến nghị bạn đợi cho gói bản ghi dịch vụ tiếp theo Windows 2000 có chứa hotfix này.

Để giải quyết vấn đề này ngay lập tức, hãy liên hệ với bản ghi dịch vụ hỗ trợ khách hàng Microsoft để lấy hotfix. Để biết danh sách đầy đủ số điện thoại bản ghi dịch vụ hỗ trợ khách hàng của Microsoft và thông tin về chi phí hỗ trợ, hãy truy cập website sau của Microsoft:Lưu ý: Trong trường hợp đặc biệt, chi phí thường phát sinh cho cuộc gọi hỗ trợ có thể bị hủy bỏ nếu chuyên viên hỗ trợ Microsoft xác định rằng một Cập Nhật cụ thể sẽ giải quyết vấn đề của bạn. Chi phí hỗ trợ thông thường sẽ áp dụng cho các vấn đề không phù hợp với bản Cập Nhật cụ thể trong câu hỏi và câu hỏi hỗ trợ bổ sung.Phiên bản tiếng Anh của cập nhật nóng này có các thuộc tính tệp (hoặc thuộc tính tệp mới hơn) được liệt kê trong bảng sau. Ngày và giờ của các tệp này được liệt kê theo Giờ Quốc tế Phối hợp (UTC). Khi bạn xem thông tin về tệp, ngày và giờ được chuyển đổi thành giờ địa phương. Để tìm sự khác nhau giữa UTC và giờ địa phương, sử dụng tab múi thời gian trong mục ngày và giờ trong Pa-nen điều khiển.
Tình trạng
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho". Vấn đề này lần đầu tiên được khắc phục trong Microsoft Windows 2000 Service Pack 4.
Thông tin thêm

Token kích thước tính Windows 2000 lên Windows Server 2008 R2

Nếu bạn sử dụng hotfix được mô tả trong bài viết này, bạn không cần phải sửa đổi giá trị kiểm nhập MaxTokenSize trong hầu hết các trường hợp. Tuy nhiên, một số trường hợp bạn muốn thay đổi giá trị kiểm nhập MaxTokenSize sau khi bạn áp dụng hotfix này có. Sau khi bạn áp dụng hotfix này cho tất cả các bộ điều khiển miền, sử dụng công thức sau để xác định xem bạn muốn thay đổi giá trị MaxTokenSize:
TokenSize = 1200 + 40 d + 8s
Công thức này sử dụng các giá trị sau:
  • d: số miền người dùng là thành viên của nhóm cục bộ cộng số nhóm phổ biến ở miền tài khoản người dùng của người dùng là thành viên của cộng số nhóm đại diện cho bảo mật ID (SID) lịch sử.
  • s: số nhóm bảo mật chung mà người dùng là thành viên của cộng số nhóm phổ biến miền người dùng tài khoản người dùng là thành viên của.
  • 1200: giá trị ước tính cho chi phí vé. Giá trị này có thể khác nhau tuỳ thuộc vào các yếu tố như độ dài tên miền DNS, tên khách hàng và các yếu tố khác.
Trong tình huống mà uỷ nhiệm được sử dụng (ví dụ: khi người dùng xác thực để điều khiển vùng), chúng tôi khuyên bạn bấm đúp mã thông báo kích thước.

Khi đặt mục kiểm nhập

Nếu mã thông báo kích thước tính bằng cách sử dụng công thức này là ít hơn 12.000 byte (kích thước mặc định), bạn không cần phải sửa đổi giá trị kiểm nhập MaxTokenSize trên miền khách hàng. Nếu giá trị hơn 12.000 byte, hãy xem bài viết Cơ sở tri thức Microsoft sau mô tả cách điều chỉnh giá trị kiểm nhập MaxTokenSize:

263693 Không thể áp dụng chính sách nhóm cho người dùng thuộc nhiều nhóm

Lưu ý:
  • Khi bạn thay đổi giá trị MaxTokenSize, bạn phải khởi động lại máy tính để thay đổi có hiệu lực.
Giá trị khuyến nghị cho mục kiểm nhập MaxTokenSize là 65535 thập phân hoặc thập lục phân FFFF. Giá trị MaxTokenSize chỉ nhận được một vé Kerberos cố đệm có Sid đại diện cho nhóm trong đó tài khoản là thành viên.

Sử dụng kích thước an toàn, bạn có thể chọn để đặt MaxTokenSize 48000, thực hiện các cuộc thảo luận về giới hạn do kích thước tiêu đề HTTP sau trong bài viết này. Tuỳ thuộc vào giá trị nào bạn đang sử dụng, bạn lần đầu tiên gặp phải sự cố với sự kiện lỗi Kerberos IIS HTTP 400 lỗi.

Các vấn đề bạn có thể gặp

Các vấn đề truy cập mã thông báo kích thước:

bản ghi dịch vụ quyền bảo mật cục bộ (LSA) tạo ra người dùng truy cập mã thông báo từ bộ đệm SID này. Giới hạn cứng mã hóa của khách hàng definable Sid cho mã thông báo này 1,015, hãy xem bài viết cơ sở kiến thức này:
328889 người dùng là thành viên của nhóm 1.015 hơn có thể không kí nhập xác thực
http://support.Microsoft.com/kb/328889/en-US

Do đó, giá trị MaxTokenSize cho hiệu quả hơn 1015 Sid không hữu ích. Công thức sau:
MaxTokenSize = 1200 + 40 d + 8s
40d có nghĩa là bạn có 40 byte cho vùng SID nhóm cục bộ. 8S có nghĩa là 8 byte miền toàn cầu/tế nhóm SID.

Do đó, nếu bạn có giá trị MaxTokenSize 0x0000FFFF (64K), bạn có thể đệm khoảng 1600 miền địa phương nhóm Sid hoặc khoảng 8000 miền toàn cầu/tế nhóm Sid. Nếu bạn sử dụng tài khoản "đáng tin cậy để uỷ nhiệm", yêu cầu bộ đệm cho mỗi SID có thể được tăng lên. Trong trường hợp này, bạn chỉ có thể lưu trữ khoảng 800 miền Sid nhóm cục bộ khi giá trị MaxTokenSize 64K. Tuy nhiên, có chỉ miền địa phương nhóm Sid không phải là một trường hợp điển hình. Giá trị 64K phải đủ ngay cả đối với trường hợp uỷ nhiệm.

Vấn đề đã biếtkhi sử dụng giá trị lớn hơn 65535 MaxTokenSize

Các phiên bản trước của bài viết này thảo luận về các giá trị tối đa 100000 byte cho MaxTokenSize. Chúng tôi đã tìm thấy phiên bản của quản trị viên SMS có vấn đề khi MaxTokenSize 100000 hoặc lớn hơn. Chúng tôi cũng đã xác định rằng giao thức IPSEC chon nhu không bảo mật BLOB trở nên lớn hơn 66536 byte, và nó cũng sẽ thất bại khi MaxTokenSize được đặt thành giá trị lớn hơn.

Vấn đề đã biết cho Internet thông tin máy chủ HTTP nhận bộ đệm

Internet Information Server (IIS) sử dụng kích thước bộ đệm giảm yêu cầu để giảm từ chối bản ghi dịch vụ tấn công véctơ 64 kB. Tuy nhiên, vé Kerberos trong một yêu cầu HTTP được mã hóa với Base64 (6 bit mở rộng 8 bit). Ngoài ra, vé Kerberos được sử dụng 133% kích thước ban đầu. Do đó, khi kích thước bộ đệm tối đa là 64 KB IIS, 48 KB vé Kerberos có thể được sử dụng.

Nếu bạn đặt mục kiểm nhập MaxTokenSize giá trị lớn hơn 48000 đệm không gian được sử dụng cho Sid, lỗi IIS có thể xảy ra. Tuy nhiên, nếu bạn đặt mục kiểm nhập MaxTokenSize 48000, lỗi Kerberos có thể xảy ra.

Để biết thêm chi tiết về kích thước bộ đệm IIS, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
310156 Làm thế nào để giới hạn kích thước tiêu đề HTTP truyền IIS chấp nhận từ máy tính khách trong Windows 2000

920862 Thông báo lỗi khi người dùng Outlook Web Access cố gắng truy cập một hộp thư trong Exchange Server 2003: "HTTP 400 yêu cầu không hợp lệ (tiêu đề yêu cầu quá dài)"

Thay đổi Windows Server 2012

Windows Server 2012 giới thiệu các thay đổi để cân nhắc về bộ đệm này:
  • Mặc định cho MaxTokenSize thay đổi 48.000 byte.
  • Có một chương trình mới cho nén Sid trong PAC.
  • Kiểm soát truy nhập động thêm Thư mục Họat động tuyên bố vé. Do đó, tính toán kích thước mong muốn vé không còn đơn giản. Kỳ vọng là vé được cung cấp bởi bộ kiểm soát miền Windows Server 2012 nhỏ hơn cùng vé được cung cấp từ phiên bản hệ điều hành. Yêu cầu thêm kích thước vé. Tuy nhiên, sau khi Windows Server 2012 tập tin máy chủ đang sử dụng tuyên bố rộng rãi, bạn có thể giai đoạn trong một số các nhóm kiểm soát truy nhập tệp cắt kích thước vé.

Để biết thêm chi tiết về những thay đổi Windows Server 2012, hãy truy cập website sau của Microsoft TechNet:

Ví dụ về các vấn đề khi vượt quá kích thước vé

Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
277741 Internet Explorer kí nhập không thành công do bộ đệm không đủ cho Kerberos
313661 Thông báo lỗi: "Thời gian chờ hết hạn" xảy ra khi bạn kết nối SQL Server qua TCP/IP và Kerberos MaxTokenSize hơn 0xFFFF

Bởi vì bạn có thể có nhiều miền kí nhập trường hợp trong nhóm của bạn, giá trị sẽ được đặt nhóm toàn trên tất cả các hệ thống dựa trên Windows. Do đó, chúng tôi khuyên rằng giá trị tối đa cho giá trị MaxTokenSize là 64K.

Quan trọng Trên máy tính khách SQL Server, bạn có thể nhận được thông báo lỗi sau khi sự cố này xảy ra:
Không thể tạo ngữ cảnh SSPI
Để giải quyết vấn đề này, bạn phải đặt giá trị kiểm nhập MaxTokenSize cho tất cả các máy tính có liên quan trong quá trình xác thực Kerberos. Điều này bao gồm các khách hàng SQL Server.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 327825 - Xem lại Lần cuối: 07/03/2016 22:38:00 - Bản sửa đổi: 7.0

Microsoft Windows XP Professional, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows 8 Enterprise, Windows 8 Pro, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtvi
Phản hồi
tml>