DetailPage-MSS-KB

기술 자료

기술 자료: 327825 - 마지막 검토: 2014년 6월 13일 금요일 - 수정: 5.0

사용 가능한 핫픽스 다운로드
핫픽스 보기 및 다운로드 요청하기
 
 
Windows Vista 서비스 팩 1 (SP1)에 대한 지원은2011년 7월 12 일에 종료 되었습니다. Windows 용 보안 업데이트를 계속 받으시려면, Windows Vista 서비스 팩 2 (SP2)를 실행하고 있어야 합니다. 자세한 내용은이 Microsoft 웹 페이지를 참조 하십시오. 일부 버전의 Windows에 대 한 지원 종료 (http://windows.microsoft.com/en-us/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs) .

이 페이지에서

현상

사용자가 여러 그룹에 속한 경우 해당 사용자 인증 또는 그룹 정책 설정을 사용 해야 합니다. 이러한 증상을 자세히 설명 하는 Microsoft 기술 자료의 다음 문서를 참조.

269643  (http://support.microsoft.com/kb/269643/ ) IIS에 연결 하는 버퍼가 부족으로 인해 Internet Explorer Kerberos 인증이 작동 하지 않는다
280380  (http://support.microsoft.com/kb/280380/ ) 버퍼 오버플로 악용 가능한 확장된 저장된 프로시저를 사용 하 여
2020943  (http://support.microsoft.com/kb/2020943/ ) "HTTP 400-잘못 된 요청 (요청 헤더가 너무 깁니다.)" 오류 인터넷 정보 서비스 (IIS)
이 문서에서 설명 하는 해결 방법 지시 MaxTokenSize 레지스트리 값을 수정할 수 있습니다. 이 해상도로 개선 되었습니다. 이 문서에 설명 되어 있는 핫픽스를 사용 하면 기본 MaxTokenSize 값을 편집할 수 없을 수 있습니다.

이 문서에 설명 되어 있는 핫픽스를이 섹션에 나열 된 Microsoft 기술 자료 문서에 설명 되어 있는 핫픽스를 대체 합니다.

원인

사용자의 Kerberos 토큰 인증 하는 동안 생성 되는 최대 크기가 고정된 되어 있기 때문에 인증할 수 없습니다. 원격 프로시저 호출 (RPC) 같은 전송 HTTP 인증에 대 한 버퍼를 할당 하는 경우 MaxTokenSize 값에 의존 하 고 있습니다. (최초 릴리스 버전) Windows 2000에서 MaxTokenSize 값은 8, 000 바이트. Windows 2000 서비스 팩 2 (SP2) 및 Windows Server 2003 MaxTokenSize 값은 12000 바이트입니다.

Kerberos는 Kerberos 패킷 전송 Active Directory 그룹 구성원 자격을 권한 특성 인증서 (PAC) 필드를 사용 합니다. Windows Server 2012 부터는이에 적용 됩니다 Active Directory 클레임 (동적 액세스 제어) 정보 필드입니다. 사용자 그룹 구성원을 여러 가지 및 많은 클레임 사용자 또는 장치에 사용 되는 경우 이러한 필드 패킷의 공간을 많이 차지할 수 있습니다.

사용자 120 개 이상의 그룹의 멤버인 경우 MaxTokenSize 값에 의해 결정 되는 버퍼가 충분히 크지 않습니다. 따라서 사용자가 인증 될 수 없습니다 하 고 "메모리 부족" 오류 메시지가 나타날 수 있습니다. 이 문서에 설명 되어 있는 핫픽스를 적용 하기 전에 사용자 계정에 추가한 모든 그룹이이 버퍼 40 바이트 증가 합니다.

참고 대부분의 시나리오에서 Windows NTLM 인증이 정상적으로 작동 합니다. Kerberos 인증 문제 없이 분석이 나타나지 않을 수 있습니다. 그러나 그룹 정책 설정이 적용 되는 경우 예상 대로 작동 하지 않습니다.

해결 방법

중요이 문제를 해결 하려면 Kerberos 인증 프로세스에 관련 된 모든 컴퓨터에 대 한 MaxTokenSize 레지스트리 값을 설정 해야 합니다. SQL Server 클라이언트가 포함 됩니다.(즉, 레지스트리 키에 요청/응답 흐름에 관여 하는 각 컴퓨터에서 설정 해야 합니다. 따라서 웹 응용 프로그램을 사용 하는 SQL Server 클라이언트 또는 백 엔드 SQL Server 데이터베이스에 전달 하는 사용자의 토큰에 있는 경우 레지스트리 키가 SQL Server 데이터베이스 컴퓨터의 SQL Server 클라이언트 컴퓨터에서 설정 하 고 또한 Internet Explorer 실행 하는 클라이언트 컴퓨터를 실행 하는 웹 서버가 IIS를 실행등.)

참고 다음 Windows 버전은이 문제에 대 한 수정을 다음과 같습니다.
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows XP Professional

서비스 팩 정보

이 문제를 해결 하려면 Microsoft Windows 2000 용 최신 서비스 팩을 구하십시오. 자세한 내용을 보시려면, Microsoft 기술 자료의 다음 문서 번호를 클릭해 주십시오.
260910  (http://support.microsoft.com/kb/260910/ ) 최신 Windows 2000 서비스 팩을 구하는 방법

핫픽스 정보

지원 되는 핫픽스를 Microsoft에서 출시 되었습니다. 그러나이 문서에서 설명 하는 문제를 해결 하는 것. 이러한 특정 문제가 발생 한 시스템에만 적용 됩니다. 이 핫픽스 추가 테스트가 필요할 수 있습니다. 따라서이 문제로 심각 하 게 영향을 받지 않습니다이 핫픽스가 포함 된 다음 Windows 2000 서비스 팩이 나올 때까지 기다리는 것이 좋습니다.

이 문제를 즉시 해결 하려면 핫픽스를 얻으려면 Microsoft 고객 지원 서비스에 문의. Microsoft 고객 기술 지원부 전화 번호 및 지원 비용에 대 한 정보를 전체 목록은 다음 Microsoft 웹 사이트를 이동.
http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)
참고 특별 한 경우에 Microsoft 기술 지원 전문가가 특정 업데이트로 문제를 해결할 수 결정 하면 일반적으로 지원 요청에 따른 비용이 취소 될 수도 있습니다. 추가 지원 질문과 특정 업데이트가 필요 하지 않은 문제에는 일반 지원 비용이 적용 됩니다.이 핫픽스의 영어 버전은 다음 표에 나열된 파일 특성 (또는 그 이후의 파일 특성)을 갖습니다. 이러한 파일의 시간과 날짜는 협정 세계시 (UTC) 로 나열 됩니다. 파일 정보를 볼 때, 로컬 시간으로 변환됩니다. UTC와 로컬 시간의 차이를 찾으려면 제어판의 날짜 및 시간 항목에서 표준 시간대 탭을 사용하십시오.

현재 상태

Microsoft는 "적용 대상" 절에 나열된 제품에서 문제가 있음을 확인했습니다. 이 문제는 Microsoft Windows 2000 서비스 팩 4에서 처음 수정 되었습니다.

추가 정보

토큰 크기 계산 Windows 2000에서 Windows Server 2008 r 2

이 문서에 설명 되어 있는 핫픽스를 사용 하면 대부분의 경우에서 MaxTokenSize 레지스트리 값을 수정할 필요가 없습니다. 그러나이 핫픽스를 적용 한 후 MaxTokenSize 레지스트리 값을 수정 해야 하는 경우가 있습니다. 모든 도메인 컨트롤러에이 핫픽스를 적용 한 후 MaxTokenSize 값을 수정할 수 있는지 여부를 확인 하려면 다음 수식을 사용 합니다.
TokenSize = 1200 + 40 d + 8s
이 수식은 다음 값을 사용 합니다.
  • d: 도메인 로컬 그룹의 멤버인 사용자의 수와 유니버설 그룹의 구성원 인 사용자는 사용자의 계정 도메인 외부의 수, 그룹 수 보안 ID (SID) 기록을 표현 합니다.
  • s: 보안 글로벌 그룹의 구성원 인 사용자 수 및 사용자를 사용자의 계정 도메인에 유니버설 그룹 수 있습니다.
  • 1200: 티켓 오버 헤드에 대 한 예상된 값입니다. DNS 도메인 이름 길이, 클라이언트 이름 및 기타 요인을 등의 요인에 따라이 값이 달라질 수 있습니다.
시나리오는 위임 사용 됩니다 (예를 들어, 사용자가 도메인 컨트롤러에 인증), 토큰 크기를 두 배로 하는 것이 좋습니다.

레지스트리 항목을 설정 하는 경우

이 수식을 사용 하 여 계산 하는 토큰 크기가 12000 바이트 (기본 크기) 미만인 경우 도메인 클라이언트에 MaxTokenSize 레지스트리 값을 수정할 필요가 없습니다. 12000 바이트 보다 큰 값을 사용 하는 경우 다음 Microsoft 기술 자료 문서에 대 한 MaxTokenSize 레지스트리 값을 조정 하는 방법에 대 한 설명 참조 하십시오.

263693  (http://support.microsoft.com/kb/263693/ ) 그룹 정책은 여러 그룹에 속하는 사용자에 게 적용 되지 않을 수 있습니다.

노트
  • MaxTokenSize 값을 변경 하면 변경 내용이 적용 되도록 컴퓨터를 다시 시작 해야 있습니다.
MaxTokenSize 레지스트리 항목에 대 한 권장된 값은 65535 10 진수 또는 16 진수 FFFF입니다. MaxTokenSize 값 고정 된 Kerberos 티켓을 수신 계정 멤버인 그룹을 나타내는 sid가 포함 된 버퍼를 지정 합니다.

안전 크기를 사용 하 여 선택할 수 있습니다 48000MaxTokenSize 설정 하려면 다음이 문서 뒷부분의 HTTP 헤더 크기에 의해 정의 된 제한에 대 한 토론. 사용 하는 값에 따라 먼저 Kerberos 오류 이벤트 또는 IIS HTTP 400 오류 문제가 발생 합니다.

발생할 수 있는 알려진된 문제

액세스 토큰 크기의 알려진된 문제:

로컬 보안 기관 (LSA) 서비스가이 SID 버퍼에서 사용자 액세스 토큰을 생성합니다. 하드 코드 된 제한은 고객의이 토큰에 대해 정의할 수 있는 Sid는 1,015이 KB 문서를 참조 하십시오.
328889 1,015 이상 그룹의 구성원 인 사용자는 로그온 인증에 실패
http://support.microsoft.com/kb/328889/EN-US (http://support.microsoft.com/kb/328889/EN-US)

따라서 1015 개 이상의 유효한 Sid에 대 한 MaxTokenSize 값을 유용 하지 않습니다. 다음과 같은 수식:
MaxTokenSize = 1200 + 40 d + 8s
40 d 도메인 로컬 그룹 SID를 40 바이트 있어야 의미 합니다. 8s에 대 한 도메인 글로벌/유니버설 그룹 SID 8 바이트를 의미합니다.

따라서 0x0000FFFF (64k)의 MaxTokenSize 값이 있으면에 약 8000 도메인 글로벌/유니버설 그룹 Sid 또는 약 1600 도메인 로컬 그룹 Sid를 버퍼링 할 수 있습니다. "위임에 트러스트" 계정을 사용 하는 경우 각 SID에 대 한 버퍼 요구 사항이 두 배가 될 수 있습니다. 이 시나리오에서는 64k의 MaxTokenSize 값을 사용 하는 경우 약 800 도메인 로컬 그룹 Sid만 저장할 수 있습니다. 그러나만 도메인 로컬 그룹 Sid를 가진지 않습니다 일반적인 시나리오입니다. 64 K의 값은 위임 시나리오에 대해서도 충분 한 이어야 합니다.

알려진 문제MaxTokenSize 65535 보다 큰 값을 사용 하는 경우

이 문서의 이전 버전에 대 한 MaxTokenSize100000 바이트의 값을 설명합니다. 버전의 SMS 관리자 MaxTokenSize 100000 이 문제가 있는 것을 발견 했습니다이. 또한 IPSEC IKE 프로토콜에는 보안을 66536 바이트 보다 큰 BLOB를 MaxTokenSize 보다 큰 값으로 설정 된 경우 실패할 것이 확인 되었습니다.

알려진된 문제에 대 한 인터넷 정보 서버 HTTP 수신 버퍼

인터넷 정보 서버 (IIS) 감소 된 요청 버퍼 크기를 사용 하 여 64KB의 서비스 공격 거부 완화. 그러나 Kerberos 티켓을 HTTP 요청에서 Base64 인코딩 (6 비트를 8 비트로 확장). 또한 Kerberos 티켓을 원래 크기의 133% 사용 하 고 있습니다. 따라서 최대 버퍼 크기가 64 KB IIS에서 48K의 Kerberos 티켓을 사용할 수 있습니다.

48000, 보다 큰 값을 MaxTokenSize 레지스트리 항목을 설정한 Sid에 대 한 버퍼 공간을 사용 하는 IIS 오류가 발생할 수 있습니다. 48000을 MaxTokenSize 레지스트리 항목을 설정 하면 Kerberos 오류가 발생할 수 있습니다.

IIS 버퍼 크기에 대 한 자세한 내용은 Microsoft 기술 자료에 있는 다음 문서 번호를 클릭 합니다.
310156  (http://support.microsoft.com/kb/310156/ ) IIS는 Windows 2000에서 클라이언트에서 HTTP 전송 헤더 크기를 제한 하는 방법

920862  (http://support.microsoft.com/kb/920862/ ) Outlook Web Access 사용자는 Exchange Server 2003에서 사서함에 액세스 하려고 할 때 오류 메시지: "HTTP 400 잘못 된 요청 (요청 헤더가 너무 깁니다.)"

Windows Server 2012 변경

Windows Server 2012 소개이 버퍼에 대 한 고려를 다음과 같이 변경이 되었습니다.
  • 기본 MaxTokenSize 48,000 바이트 변경합니다.
  • 된 압축 수락할지의 sid에 대 한 새 스키마
  • 동적 액세스 제어는 Active Directory 클레임 티켓에 추가합니다. 따라서 티켓 예상된 크기를 계산을 간단 수 없습니다. 예상은 Windows Server 2012 도메인 컨트롤러에 의해 발급 된 티켓 보다 같은 이전 운영 체제 버전에서 발행 한 티켓입니다. 클레임 티켓 크기를 추가합니다. 그러나 Windows Server 2012 파일 서버를 사용 하는 클레임 광범위 하 게 한 후 티켓 크기 트림에 대 한 파일 액세스를 제어 하는 그룹의 중요 한 몇 단계를 기대할 수 있습니다.

Windows Server 2012 변경에 대 한 자세한 내용은 다음 Microsoft TechNet 웹 사이트로 이동.
http://technet.microsoft.com/en-us/library/hh831717.aspx (http://technet.microsoft.com/en-us/library/hh831717.aspx)

문제 티켓 크기를 초과 하는 경우의 예

자세한 내용을 보시려면, Microsoft 기술 자료의 다음 문서 번호를 클릭하십시오.
277741  (http://support.microsoft.com/kb/277741/ ) Kerberos에 대 한 버퍼가 부족으로 인해 Internet Explorer 로그온 실패
313661  (http://support.microsoft.com/kb/313661/ ) 오류 메시지: TCP/IP를 통해 SQL Server 연결할 때 Kerberos MaxTokenSize가 0xFFFF 보다 큰 발생 "제한 시간이 만료 되었습니다."

포리스트 내의 도메인 간 로그온 시나리오가 해야 하기 때문에 값은 모든 Windows 기반 시스템에서 포리스트 범위 설정 해야 합니다. 따라서 MaxTokenSize 값의 최대 값 64 K 되도록 하는 것이 좋습니다.

중요 SQL Server 클라이언트에서이 문제가 발생 하면 다음과 같은 오류 메시지가 나타날 수 있습니다.
SSPI 컨텍스트를 생성할 수 없습니다.
이 문제를 해결 하려면 Kerberos 인증 프로세스에 관련 된 모든 컴퓨터에 대 한 MaxTokenSize 레지스트리 값을 설정 해야 합니다. SQL Server 클라이언트가 포함 됩니다.


본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
키워드: 
kbqfe kbhotfixserver kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbmt KB327825 KbMtko
기계 번역된 문서기계 번역된 문서
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.
이 문서의 영문 버전 보기:327825  (http://support.microsoft.com/kb/327825/en-us/ )
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store